Ice 156

INSTITUTO POLITCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

UNIDAD CULHUACAN
TESINA
Seminario de Titulacin:
Las tecnologas aplicadas a las redes de computadoras
FNS 5092005/04/2008
SISTEMA DE ACTIVACIN DE VPN CON

CISCO 7206 VXR
Que como prueba escrita de su
examen Profesional para obtener
el Ttulo de:
Ingeniero en Comunicaciones y Electrnica
Presentan:
PREZ LPEZ ROBERTO
REBOLLAR HERNNDEZ JUAN VICTOR
Ingeniero en Computacin
Presenta:
GODNEZ QUEZADA ERICK ARTURO
INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA ELCTRICA
UNIDAD CULHUACAN
TESINA
POR LA OPCIN DE
QUE PARA OBTENER EL TTULO DE
PRESENTA:
QUE PARA OBTENER EL TTULO DE
PRESENTA:
SEMINARIO DE TITULACIN
FNS5092005/04/2008
INGENIERO
EN
COMUNICACIONES
ELECTRNICA
PREZ LPEZ ROBERTO
REBOLLAR HERNNDEZ JUAN VICTOR
INGENIERO EN COMPUTACIN
GODNEZ QUEZADA ERICK ARTURO
SISTEMA DE ACTIVACIN DE VPN CON CISCO 7206 VXR

SE REALIZAR UN SISTEMA DE ACTIVACIN DE VPN EN EQUIPO CISCO 7206 VXR PARA
SOLVENTAR LA NECESIDAD EN LAS GRANDES EMPRESAS DE PODER ADMINISTRAR EN SUS
REDES LAS ALTAS Y BAJAS DE ESTE TIPO DE CONEXIONES DE MANERA AUTOMTICA Y
CENTRALIZADA. EL SISTEMA DE ACTIVACIN CONTAR CON EL PROCEDIMIENTO
NECESARIO DE CONFIGURACIN DE VPN PARA ASEGURAR QUE AL CONFIGURAR LOS
EQUIPOS DE LA RED, NO SE CORROMPAN OTROS SERVICIOS YA INSTALADOS, CON ESTO SE
EVITA GRAN PARTE DE EL ERROR HUMANO QUE PUEDE EXISTIR AL CONFIGURAR ESTE TIPO
DE SERVICIOS DE FORMA DIRECTA EN LOS ELEMENTOS DE LA RED. CISCO ENTREGA LA
LNEA MS AMPLIA Y COMPLETA DE SOLUCIONES PARA EL TRANSPORTE DE DATOS, VOZ Y
VIDEO ALREDEDOR DEL MUNDO, ASEGURANDO QUE TANTO LAS REDES PBLICAS COMO
LAS PRIVADAS OPEREN CON MXIMO DESEMPEO, SEGURIDAD Y FLEXIBILIDAD. EL
EQUIPO CISCO 7206 VXR ES EL MS RECIENTE DE LA SERIE CISCO 7200.
CAPITULADO
INTRODUCCIN.
CAPTULO 1
FUNDAMENTOS DE LAS REDES PRIVADAS VIRTUALES.
CAPTULO 2
FUNDAMENTOS DE LOS SISTEMAS DE INFORMACIN.
CAPTULO 3
CONFIGURACIN VRF (VPN ROUTING / FORWARDING).
CAPTULO 4
DISEO DEL SISTEMA DE ACTIVACIN DE VPN.
CONCLUSIONES.
BIBLIOGRAFA.
GLOSARIO.
Mxico D.F. 09 de Agosto de 2008
M. en C. Diana Salom Vzquez Estrada

Coordinador Acadmico del Seminario
Ing. Patricia Corts Pineda.

Asesor.
M. en C. Hctor Becerril Mendoza

Jefe del Departamento de Ingeniera
en Comunicaciones y Electrnica
A Dios que me ha dado una familia maravillosa y una vida llena de emociones, retos y
felicidad.
A mis amados padres en quienes siempre he encontrado el apoyo que me ha hecho crecer
como persona y a quienes les debo todo lo que soy.
A mi amada esposa quien me llena de alegra cada da y me da la fuerza y motivacin para
cumplir mis objetivos.
Erick Arturo
Agradezco a mis padres el darme el apoyo necesario e inculcarme los valores necesarios
para ser una persona de bien y llegar hasta donde estoy ahora.
A mis hermanas y hermano por darme su apoyo cuando lo he necesitado.
A mis sobrinos que me dan ratos de alegra cuando estoy con ellos.
A Dios por permitirme ser quien soy.
Roberto
II
Agradezco al Instituto Politcnico Nacional por haber permitido formarme como una
persona profesional, adems de brindar la preparacin que egresados de otras escuelas
envidian en su formacin Acadmica.
Agradezco a Dios por permitir compartir la alegra de las dos grandes mujeres, a mi lado.
Agradezco a mi Madre la mejor madre que pudo existir, que con sus infinitos cansancios
logr darme ms de lo que se le da a un hijo, el valor de luchar por lo que quieres, no
importe el cansancio que esto conlleve y el amor que supera al de ella misma.
Agradezco a mi futura esposa que me ha brindado el apoyo incondicional y enseado a ver
la otra mitad de m, da a da, en ella, en su amorGracias!
Juan Victor
III
ndice
Introduccin
Captulo I. Fundamentos de las Redes Privadas Virtuales
1.1 Seguridad para la VPN
1.2 Ventajas y Desventajas de una Red Privada Virtual (VPN)
1.2.1 Ventajas de una Red Privada Virtual (VPN)
1.2.2 Desventajas de una Red Privada Virtual (VPN)
1.3 Arquitectura de la Red Privada Virtual (VPN)
1.3.1 Redes Privadas Virtuales basadas en FireWall
1.3.2 Redes Privadas Virtuales basadas en caja negra
1.3.3 Redes Privadas Virtuales basadas en ruteadores
1.3.4 Redes Privadas Virtuales basadas en acceso remoto
1.4 Topologas de VPN
1.4.1 Topologa de Cortafuego/VPN a cliente
1.4.2 Topologa de VPN/LAN a LAN
1.4.3 Topologa de cortafuego/ VPN a Internet/ extranet
1.4.4 Topologa de VPN/tramas a ATM
1.4.5 Topologa de VPN de hardware (caja negra)
1.4.6 Topologa de VPN/NAT
1.5 Trfico de entrada y salida de la VPN
1.6 Trfico de entrada de la VPN
1.7 Topologa de conmutacin de VPN
Captulo II. Fundamentos de los Sistemas de Informacin
2.1 Sistemas de informacin
2.2 Categoras de los sistemas de informacin
2.2.1 Sistemas para el procesamiento de transacciones
2.2.2 Sistemas de informacin administrativa
2.2.3 Sistemas para el soporte de decisiones
2.3 Estrategias para el desarrollo de sistemas
2.4 Ciclo de vida clsico del desarrollo del sistema
2.4.1 Investigacin preliminar
2.4.2 Determinacin de los requerimientos del sistema
2.4.3 Diseo del sistema
2.4.4 Desarrollo de software
2.4.5 Prueba del sistema
2.4.6 Implantacin y evaluacin
Captulo III. Configuracin VRF (VPN routing/forwarding)
3.1 Protocolo de Gateway Fronterizo o Border Gateway Protocol
3.2 Conmutacin Multi-Protocolar mediante Etiquetas MPLS
3.2.1 Caractersticas bsicas y funcionamiento
1
9
13
15
16
17
17
17
18
18
18
18
19
20
21
22
23
23
23
24
24
25
25
26
26
26
27
28
30
31
32
33
33
34
34
36
38
38
39
IV
3.2.2 Arquitectura MPLS

3.2.3 Cabecera MPLS
3.3 Operacin de VRF
3.3.1 Pasos a seguir para la configuracin de la VRF (Seguimiento de ruteo VPN)
3.3.2 Ejemplo de una configuracin de VRF es el siguiente:
Paso 1: Configuracin VRF
Paso 2: Configura direccin de familia
Paso 3: Anuncio de subredes
Paso 4: Configuracin interfaz de circuito interno
Captulo IV. Diseo del Sistema de Activacin de VPN
4.1 Interfaz Grfica de Usuario:
4.1.1 Procesar Workflow
4.1.2 Generacin de mensajes de error
4.2 Demonios del SAS
4.2.1 Demonio de Ejecuciones
4.2.2 Demonio de Notificaciones
4.2.3 Demonio del ruteador
4.3 Dralasoft
4.3.1 Motor de Ejecucin de Workflows de Dralasoft
4.4 Diseo de la base de datos
4.4.1 Tabla REQUEST:
4.4.2 Tabla WORKFLOW
Conclusin
Bibliografa:
Glosario
42
42
43
44
46
46
47
47
48
49
50
53
58
59
59
60
62
62
64
70
71
71
73
75
76
Introduccin
Algunos aos atrs, las diferentes sucursales de una empresa podan tener, cada una, una
red local a la sucursal que operara aislada de las dems. Cada una de estas redes locales
tena su propio esquema de nombres, su propio sistema de email, e inclusive usar
protocolos que difieren de los usados en otras sucursales. Es decir, en cada lugar exista una
configuracin totalmente local, que no necesariamente deba ser compatible con alguna o
todas las dems configuraciones de las otras reas dentro de la misma empresa. Conforme
ha ido pasado el tiempo las empresas han visto la necesidad de que las redes de rea local
superen la barrera de lo local permitiendo la conectividad de su personal y oficinas en otros
edificios, ciudades, comunidades autnomas e incluso pases.
La Red Privada Virtual (VPN, Virtual Private Network ) vino a solucionar este problema de
comunicacin siendo una tecnologa de red que permite una extensin de la red local sobre
una red pblica, por ejemplo Internet. Esto es posible gracias a los medios para garantizar
la autenticacin, integridad y confidencialidad de toda la comunicacin:
Autenticacin y autorizacin: Tcnica por la cual se reconoce el usuario o equipo a
conectarse y el nivel de acceso que debe tener.
Integridad: Es la garanta de que los datos enviados no han sido alterados.
Confidencialidad: Dado que los datos viajan a travs de un medio potencialmente hostil
como Internet, los mismos son susceptibles de ser interceptados, por lo que es fundamental
el cifrado de los mismos. De este modo, la informacin no debe poder ser interpretada por
nadie ms que los destinatarios de la misma.
El concepto de VPN ha estado presente desde hace algunos aos en el mundo de la redes de
voz. A mediados de los aos 80s, grandes portadoras fueron ofrecidas como VPN para
servicios de voz, de manera que las compaas podan tener la apariencia de una red
privada de voz, mientras compartan los recursos de una red mucho mayor. Este concepto
se est aplicando ahora tanto para voz como para datos de la misma manera. Esencialmente
una VPN es una red de datos aparentemente privada, pero la cual utiliza los recursos de un
red de informacin mucho mayor. La Internet es la plataforma ideal para crear una VPN.
En un principio existan dos tipos bsicos de tecnologas VPN, las cuales fueron la base de
las VPN hoy en da: VPN confiables y VPN seguras. Las VPN hbridas, surgieron como
consecuencia de un desarrollo tecnolgico y de los avances de la Internet.
Antes de que la Internet se volviera universal, una VPN consista en uno o ms circuitos
rentados a un proveedor de comunicaciones. Cada circuito rentado actuaba como un cable
independiente, el cual era manejado por el cliente. La idea bsica era que el cliente usara el
circuito de la misma manera en que usaba los cables fsicamente en su red local.
La privacidad con la que contaban estas VPN no era ms que la que el proveedor del
servicio de comunicacin le otorgaba al cliente; nadie ms poda usar el mismo circuito.
Esto permita a los clientes tener su propia direccin IP y polticas de seguridad
independientes. Un circuito rentado corra sobre uno o ms switch de comunicacin, de los
cuales, cualquiera poda ser comprometido por algn operador que tratara de monitorear el
trfico de las lneas. El cliente VPN tena que confiar la integridad de los circuitos y de la
informacin en el proveedor de servicio VPN; por este motivo este tipo de redes era
llamado VPN confiable.
Con el paso del tiempo la Internet se volvi ms popular como medio de comunicacin
corporativo, y la seguridad se volvi un tpico de mayor importancia. Con el antecedente
de las VPN confiables, se buscaron implementaciones que no afectaran la privacidad de la
informacin y que incluyeran la integridad de los datos enviados. Se empezaron a crear
protocolos que permitieran la encriptacin del trfico en algn extremo de la red, que se
2
moviera a travs de la Internet como cualquier otra informacin, para luego ser descifrado
cuando alcanzara la red de la corporacin o al destinatario.
Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten
obtener acceso a servicios de carcter privado, nicamente a personal autorizado, de una
empresa, centros de formacin, organizaciones, etc.; cuando un usuario se conecta va
Internet, la configuracin de la Red Privada Virtual le permite conectarse a la red privada
del organismo con el que colabora y acceder a los recursos disponibles de la misma como si
estuviera tranquilamente sentado en su oficina.
En la prctica, la tecnologa VPN nos da la posibilidad de conectar dos o ms sucursales de
una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de
soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda
acceder desde su equipo porttil desde un sitio remoto, por ejemplo un hotel, cafetera,
restaurante, etc. Todo esto utilizando la infraestructura de Internet.
Las ventajas de ocupar la tecnologa VPN en las empresas son los ahorros considerables en
enlaces privados: un enlace privado o "dedicado" de punto a punto entre 2 sucursales o
enlaces del tipo empresarial, son bastante costosos, aunque ofrecen buena calidad en el
servicio, su costo es sumamente elevado, pues llegan a costar decenas de miles de pesos de
renta mensual ms el costo de los equipos de telecomunicaciones especiales necesarios para
soportar estos enlaces.
Infraestructura fcil de mantener: como referencia a lo anterior, la infraestructura y equipos
de red como fibras pticas, ruteadores, conversores de seal, tarjetas de recepcin, etc. son
equipos de precio elevado, y se tiene que tener un espacio dedicado a estos en una empresa
que los requiera, donde las condiciones ambientales deben ser las adecuadas y, por otra
parte, el costo del soporte tcnico es tambin costoso. Con la implementacin de una VPN,
el mantenimiento a la infraestructura y el soporte son bastante econmicos en comparacin
a lo anterior, si un equipo llega a tener una falla en hardware, la inversin en su
mantenimiento es relativamente baja como cualquier otro equipo de cmputo de la
empresa.
3
Los proveedores del servicio de VPN y las empresas de gran tamao que lo ocupan
enfrentan constantemente la necesidad de optimizacin de los costos de gestin y
funcionamiento, simplificando la gestin de redes y aumentando las oportunidades de
beneficios.
Una solucin a estas necesidades es la implementacin de un Sistema de Activacin el cual
ayude a administrar de forma ptima este tipo de conexiones VPN creando un
procedimiento estndar de configuracin, y dando el mayor rendimiento en funcionamiento
eliminando la configuracin manual de equipos de red para evitar errores humanos.
Se realizar un sistema de activacin de VPN en equipos CISCO 7206 VXR para solventar
la necesidad en las grandes empresas de poder administrar en sus redes las altas y bajas de
este tipo de conexiones de manera automtica y centralizada.
Gracias al sistema de activacin se podr llevar un control de los cambios que ha tenido la
red en cuanto a las conexiones VPN se refiere y quien ha sido el responsable de llevarlas a
cabo, facilitando la identificacin de responsabilidades dentro del equipo de Sistemas de
Operacin.
El sistema de activacin contar con el procedimiento necesario de configuracin de VPN
para asegurar que al configurar los equipos de la red, no se corrompan otros servicios ya
instalados, con esto se evita gran parte del error humano que puede existir al configurar este
tipo de servicios de forma directa en los elementos de la red.
Se ha elegido realizar un Sistema de Activacin de VPN especficamente para equipos
7206 VXR de la marca CISCO debido a que en primer lugar, CISCO es el lder mundial en
redes para Internet. CISCO entrega la lnea ms amplia y completa de soluciones para el
transporte de datos, voz y video alrededor del mundo, asegurando que tanto las redes
pblicas como las privadas operen con mximo desempeo, seguridad y flexibilidad.
Por otro lado, el equipo CISCO 7206 VXR es el ms nuevo de la serie Cisco 7200, la cual
se caracteriza por llevar en una sola plataforma de bajo costo las funciones que antes
llevaban a cabo varios dispositivos independientes. Los ruteadores de la serie Cisco 7200
4
pueden utilizarse con eficiencia, tanto en las redes de los proveedores de servicios como en
las de las empresas para reducir los costos de aprovisionamiento WAN, dar soporte a
servicios diferenciados y proporcionar aplicaciones de valor aadido como la gestin del
trfico, la contabilidad y la calidad de servicio. La serie Cisco 7200 establece una relacin
adecuada entre rendimiento y precio para los requisitos tanto de proveedores de servicios
como de empresas. Con su combinacin de rendimiento ampliable, densidad y un bajo
precio por puerto, la serie Cisco 7200 permite expandir las funciones de capa de red a una
gama ms amplia de configuraciones y entornos.
La siguiente tabla muestra los equipos de esta familia as como sus caractersticas.
Tabla I.1 Comparacin de ruteadores de la familia 7200
Modelos
7204VXR
7206VXR
Tamao
Slots
Mdulos de
seguridad
Desempeo
Capacidad
Backplane
3 RU
Alto: 13.34 cm (5.25
pulgadas)
Ancho: 42.67 cm (16.8
pulgadas)
Profundidad: 43.18 cm (17
pulgadas)
4 Slots para Adaptadores de
Puerto simple (single Port
Adapter Slots )
1 Slot Controlador
Entrada/Salida(I/O Controller
Slot)
1 Slot para Mquina de
Procesamiento de
Red(Network Processing
Engine Slot)
SA-VAM2+
C7200-VSA
2 Mpps1 con NPE-G2
1.8 Gbps2 con NPE-G2
7201
3 RU
Alto: 13.34 cm
(5.25 pulgadas)
Ancho: 42.67 cm
(16.8 pulgadas)
Profundidad: 43.18
cm (17 pulgadas)
6 Slots para
Adaptadores de
Puerto simple
1 I/O Controller
Slot
1 Slot para Mquina
de Procesamiento
de Red
I RU
Alto: 4.39 cm (1.73
pulgadas)
Ancho: 41.20 cm
(16.2 pulgadas)
Profundidad: 43.94
cm (17.3 pulgadas)
1 Slot para
Adaptador de
Puerto simple
N/A
N/A - built-on
Mquina - NPE-G2
con 4 puertos GE
SA-VAM2+
C7200-VSA
2 Mpps con NPEG2
1.8 Gbps con NPEG2
SA-VAM2+
2 Mpps
1.8 Gbps
1- Millones de paquetes por segundo.

2- Gigabits por segundo.
La ms conveniente para manejar varias conexiones VPN es la 7206VXR debido a su

desempeo y capacidad de trfico y conexin.
A continuacin se muestra la comparacin del equipo CISCO 7206 VXR con sus
equivalentes de otras marcas.
Tabla I.2 Comparacin entre el ruteador CISCO 7206VXR y sus competidores de otras
marcas
Modelos
CISCO 7206VXR
Juniper J6350
Nortel VPN
Router 5000
Tamao
3 RU
2 RU
Alto: 13.3 cm
Alto: 13.34 cm (5.25 Alto: 44.5 cm (17.5
(5.25 pulgadas)
pulgadas)
pulgadas)
Ancho: 43.8 cm
Ancho: 42.67 cm
Ancho: 8.9 cm (3.5
(17.25 pulgadas)
(16.8 pulgadas)
pulgadas) Profundidad:
Profundidad: 58.4
Profundidad: 43.18
54.6 cm (21.5 pulgadas)
cm (23 pulgadas)
cm (17 pulgadas)
Slots
6 Slots para
6 Slots PIM
5 Slots PCI
Adaptadores de Puerto
4 Slots EPIM
simple
1 I/O Controller Slot
1 Slot para Maquina
de Procesamiento de
Red
Mdulos de
SA-VAM2+
TUV, CSA, CB
seguridad
C7200-VSA
Desempeo
2 Mpps con NPE-G2
Capacidad
1.8 Gbps con NPE-G2
2 Gbps
Backplane
Cisco Systems es una empresa multinacional ubicada en San Jos (California, Estados
Unidos), principalmente dedicada a la fabricacin, venta, mantenimiento y consultora de
equipos de telecomunicaciones tales como:
Dispositivos de conexin para redes informticas: ruteadores (enrutadores,
encaminadores o ruteadores), switches (conmutadores) y hubs (concentradores).
Dispositivos de seguridad como Cortafuegos y Concentradores para VPN.
Productos de Telefona IP como telfonos y el CallManager (una PBX IP).
6
Software de gestin de red como CiscoWorks.

Equipos para Redes de rea de Almacenamiento.
Actualmente, Cisco Systems, es Lder Mundial en soluciones de red e infraestructuras para
Internet.
Es considerada una de las grandes empresas del sector tecnolgico y un importante
miembro del mercado del NASDAQ o mercado accionario de tecnologa.
La empresa fue fundada en 1984 por el matrimonio de Leonard Bosack y Sandra Lerner,
quienes formaban parte del personal de computacin de la Universidad de Stanford. El
nombre de la compaa viene de la palabra "San Francisco"; al mirar por la ventana haba al
frente un cartel que deca "San Francisco" y un rbol se interpona entre la palabra
separando San Fran Cisco, de ah proviene el nombre de la empresa. Donde comenz su
despliegue como empresa multinacional.
Bosack adapt el software para enrutadores multi-protocolo originalmente escrito por
William Yeager, otro empleado de informtica en esa Universidad. Cisco Systems cre el
primer ruteador comercialmente exitoso.
Hoy en da, otro gigante que le est intentando hacer sombra es la multinacional Juniper
Networks, dedicada principalmente a la venta de ruteadores para enlaces backbone
(columna vertebral).
Adems de desarrollar el hardware de sus equipos, Cisco Systems tambin se ocupa de
desarrollar su propio software de gestin y configuracin de los mismos. Dicho software es
conocido como IOS de cdigo actualmente cerrado y totalmente propietario.
A travs del IOS se consigue configurar los equipos Cisco mediante la denominada
"Command Line Interface" ( Interfaz de Lnea de Comandos, por su nombre en espaol)
que sirve de intrprete entre el usuario y el equipo.
7
Cisco Systems tambin posee una divisin de publicaciones tecnolgicas denominada

Cisco Press, la cual tiene convenio con la editorial estadounidense Pearson VUE, as como
una divisin educativa que produce material educativo para programas que tienen como fin
la formacin de personal profesional especializado en el diseo, administracin y
mantenimiento de redes informticas. Algunos de estos programas son:
CCDA (Cisco Certified Design Associate)
CCDP (Cisco Certified Design Professional)
CCIE (Cisco Certified Internetwork Expert)
CCIP (Cisco Certified Internetwork Professional)
CCNA (Cisco Certified Network Associate)
CCNP (Cisco Certified Network Professional)
CCSP (Cisco Certified Security Professional)
Tales programas son dictados en alianza con Instituciones Universitarias denominadas

'
Academias Locales'las cuales existen en 128 pases.
Captulo I. Fundamentos de las Redes Privadas Virtuales

Desde una perspectiva histrica, el trmino Red Privada Virtual (VPN) o en ingls VPN
(Virtual Prvate Network) comenz a forjar su camino a principios de 1997, pero hay
quienes estn en desacuerdo con esta afirmacin, si bien es verdad que la tecnologa
subyacente utilizada en las VPN, es el conjunto del protocolo TCP/IP que se desarrollo en
los sesentas, algunos de sus conceptos datan desde antes para ser exactos desde la segunda
guerra mundial. Por lo mismo crea controversia, por el alto desarrollo de Internet en los
noventas en los que comienza a desarrollarse en mayor proporcin.
Una Red Privada Virtual (VPN) es un proceso de comunicacin cifrada o encapsulada que
transfiere datos desde un punto hacia otro de manera segura; la seguridad de los datos se
logra gracias a una tecnologa robusta, de cifrado y los datos que se transfieren pasan a
travs de una red abierta, insegura y enrutada.
Es necesario que sepamos a que se refiere el trmino CIFRADO
CIFRADO: No es ms que tomar un mensaje escrito y pasarlo a algn argot o cdigo, por
ejemplo: llegar tarde se convierte en 2der56gtr2345 en el otro extremo de este proceso
se aplica el DECIFRADO que es lo contrario de CIFRADO, seguimos con el ejemplo al
tomar 2der56gtr2345 se convierte de nuevo a llegar tarde.
VIRTUAL: Se refiere a una situacin como si estuviera dentro de la misma Red.
Otra forma de ver una VPN es como el proceso ms sencillo para enviar datos cifrados de
un punto a otro, generalmente por Internet. No obstante, las VPN tambin pueden utilizarse
9
en lneas rentadas, enlaces ATM (Frame Relay) transmisin de tramas o servicios de red
telefona simple (POTN), como las redes digitales de servicios integrados (ISDN) y las
lneas de suscripcin digital (xDLS). Algunos proveedores de servicios de Internet (PSI) ya
proporcionan diversas implementaciones de VPN. Al agregar la tecnologa VPN a los
segmentos de tramas, los clientes pueden obtener los beneficios adicionales de la tecnologa
VPN.
Las VPN dan cabida al crecimiento, muchos dispositivos de VPN manejaran cualquier
servicio que se coloque en ellas. Le permitirn crear tneles o comunicaciones punto a
punto con cifrado, bajo demanda. Podr crear tneles hacia otros sitios, como uno que vaya
de las oficinas centrales corporativas hasta las oficinas principales de ventas y ms
adelante podr crear ms tneles hacia otras oficinas.
El encapsulamiento es el proceso de tomar un paquete de datos y envolverlo dentro de un
paquete IP.
Las VPN se presentan en cuatro reas:
Intranet.- Una VPN tiene como principal caracterstica que se conecta una oficina central
con otra remota es decir que solo se tiene acceso a la intranet desde afuera de la red.
Normalmente, solo se utiliza dentro de la red de una compaa y nicamente acceden los
empleados de la misma. El acceso viene desde el exterior y no desde el interior.
Acceso Remoto.- Una VPN de acceso remoto se crea desde las oficinas centrales y los
usuarios mviles remotos. Con el software de cifrado cargado en una laptop, un individuo
establecer un tnel cifrado al dispositivo de la VPN en las oficinas centrales corporativas.
Extranet.- Una VPN extranet se crea entre la empresa y sus clientes o proveedores, la
extranet permitir el acceso con el protocolo http normal utilizado por los navegadores web
actuales, o permitir que se realice la conexin utilizando otro servicio y protocolo
acordado por las partes involucradas.
10
VPN interna.- Esta es la que menor usa una compaa desplazndola la red LAN o de rea
Local. Algunos motivos que las compaas no las utilizan son porque los estudios de
seguridad indican que los ataques por empleados internos ocupan el primer lugar. De
acuerdo al Instituto de Seguridad de Computo (CSI) de la oficina de brigada contra el
crimen computacional internacional del FBI de San Francisco California.
Usando una combinacin de encripcin, autentificacin, tnel y control de acceso, una
VPN proporciona a los usuarios un mtodo seguro de acceso a los recursos de las redes
corporativas. La implementacin de una VPN involucra dos tecnologas: un protocolo de
tnel y un mtodo de autentificacin de los usuarios del tnel.
Cuatro diferentes protocolos de tnel son los ms usados para la construccin de VPN
sobre la Internet:
Protocolo de tnel punto - punto (PPTP).
Envo de capa 2 (L2F).
Protocolo de tnel de capa 2 (L2TP).
Protocolo de seguridad IP (IPSec).
La razn de la diversidad de protocolos es porque las empresas que implementan VPNs
tienen requerimientos diferentes. Por ejemplo: enlazar oficinas remotas con el corporativo,
o ingresar de manera remota al servidor de la organizacin.
Los protocolos PPTP, L2F y L2TP se enfocan principalmente a las VPN de acceso remoto,
mientras que IPSec se enfoca mayormente en las soluciones VPN de sitio sitio.
El protocolo PPTP ha sido ampliamente usado para la implementacin de VPNs de acceso
remoto. El protocolo ms comn que se usa para acceso remoto es el protocolo de punto punto (PPP); PPTP se basa en la funcionalidad de PPP para proveer acceso remoto que
puede estar dentro de un tnel a travs de la Internet hacia su destino. PPTP encapsula los
paquetes PPP usando una versin modificada del encapsulado genrico de ruteo (Generic
11
Routing Encapsulation GRE), lo que da al protocolo PPTP la flexibilidad de manejo de

otros protocolos como: intercambio de paquetes de Internet (IPX) y la interfaz grfica de
sistema bsico de entrada / salida de red NetBEUI. PPTP est diseado para correr en la
capa 2 del sistema OSI (Open System Interconnection) o en la capa de enlace de datos. Al
soportar comunicaciones en la capa 2, se permite transmitir protocolos distintos a los IP
sobre los tneles. Una desventaja de este protocolo es que no provee una fuerte encripcin
para proteger la informacin y tampoco soporta mtodos de autentificacin basados en
tokens.
L2F fue diseado como protocolo de tnel de trfico desde usuarios remotos hacia los
corporativos. Una diferencia entre PPTP y L2F es que el tnel creado por L2F no es
dependiente en IP, y le permite trabajar directamente con otro tipo de redes como frame
relay o ATM. Al igual que PPTP, L2F emplea PPP para la autentificacin del usuario
remoto. L2F permite tneles para soportar ms de una conexin.
L2TP es un protocolo de capa 2, y permite a los usuarios la misma flexibilidad que PPTP
para manejar protocolos diferentes a los IP, como IPX y NetBEUI. L2TP es una
combinacin de PPTP y L2F, y puede ser implementado en diferentes topologas como
Frame Relay y ATM. Para proveer mayor seguridad con la encripcin, se pueden emplear
los mtodos de encripcin de IPSec. La recomendacin es que para procesos de encripcin
y manejo de llaves criptogrficas en ambientes IP, el protocolo IPSec sea implementado de
manera conjunta.
IPSec naci con la finalidad de proveer seguridad a los paquetes IP que son enviados a
travs de una red pblica, trabaja principalmente en la capa 3. IPSec permite al usuario
autentificar y/o cifrar cada uno de los paquetes IP. Al separar las aplicaciones de
autentificacin y encripcin de paquetes, se tienen dos formas diferentes de usar IPSec
llamadas modos. En el modo de transporte slo el segmento de la capa de transporte de un
paquete IP es autentificado y encriptado. En el otro modo llamado de tnel, la
autentificacin y encripcin se aplica a todo el paquete. Mientras que el modo de transporte
es til en muchas situaciones, el modo de tnel provee mayor seguridad en contra de ataque
12
y monitoreo de trfico que pueda ocurrir sobre la Internet. A su vez este protocolo se
subdivide en dos tipos de transformaciones de datos: el encabezado de autentificacin (AH)
y la carga de seguridad encapsulada (ESP).
1.1 Seguridad para la VPN

La seguridad en la VPN debera de ser considerada como una parte de seguridad general de
una organizacin, de hecho, el trmino de seguridad de redes abarca tantos aspectos de una
organizacin que sera ms adecuado emplear el trmino de seguridad de la informacin.
La seguridad de la informacin abarca la seguridad de redes, la seguridad de las
computadoras, la seguridad de acceso y la seguridad fsica, entre otras. Puesto que los
recursos capitales para cualquier organizacin son escasos, tambin lo son los recursos
para implementar la seguridad.
Cuando se piensa en la seguridad de redes, especialmente cuando se implementa en las
VPN, se debera revisar la pila de interconexin de sistemas abiertos (OSI). El modelo OSI
se ha utilizado virtualmente en todos los sistemas de cmputo actuales. La pila OSI tiene
siete niveles: aplicacin, presentacin, sesin, transporte, red, enlace de datos y fsico. Los
ataques ms comunes en la actualidad como pueden ser las sobrecargas de la memoria
intermedia (bfer) y otros ataques de seguridad, suceden a travs de todos estos niveles. La
VPN se ubica en los niveles ms bajos de la pila OSI, tener esta tecnologa tan bajo como
sea posible en la pila ayuda a eliminar muchos de los ataques que podran suceder si
estuviesen en los niveles de arriba.
La seguridad es un tema multifactico donde los elementos pueden estar acomodados en
distintos niveles, y puede incrementar la seguridad conforme pase de un nivel a otro.
Todas las redes son vulnerables, todas las redes son inseguras y todas las redes pueden estar
expuestas al peligro. Las auditorias peridicas ayudan, pero tambin ayuda comprender
como es la infraestructura de la red. Al comprender y conocer completamente la topologa
se pueden identificar las debilidades. Mucha gente se concentra en asegurar el cortafuego y
13
asume que ste es el dispositivo de proteccin del permetro, en muchas topologas hay un
cortafuego, pero tambin hay un enrutador externo conectado a la conexin del Proveedor
de Servicio de Internet, mucha gente olvida este dispositivo y servicio.
El control de acceso al usuario es extremadamente importante cuando se implementa una
tecnologa VPN. Primero tiene que asegurarse de que solo concede el acceso a los usuarios
autorizados, despus, debe asegurarse de que esos usuarios autorizados solo tienen
concedido el acceso a aquellos servidores que usted considera necesarios.
Una cosa acerca de la seguridad es que siempre est cambiando, y la implementacin de
procedimientos de seguridad tiene que estar al da en la manera de pensar. Durante aos, las
contraseas simples fueron suficientes para las mquinas individuales y otros dispositivos
de red, pero ahora han terminado su vida til.
Con las VPN y los cortafuegos, no basta preocuparse solo por la seguridad interna, ahora,
tambin es necesario preocuparse por la seguridad externa en una red pblica como lo es
Internet, as que hay que tener en mente que una buena poltica de calidad debe ser muy
dinmica. La capacitacin las listas de correo y las advertencias sobre seguridad son parte
de una buena poltica de calidad, adems de tener una buena comunicacin con los
proveedores de servicio de Internet, con la esperanza de estar actualizados sobre los
aspectos de seguridad relacionados con los productos que venden.
Para que las VPN sean un medio efectivo para el comercio electrnico para aplicaciones de
extranet y para las transacciones financieras a travs de Internet deben de utilizarse
tecnologas de autenticacin segura, as como la criptografa y cifrado en cada extremo del
tnel de la VPN.
Puntos importantes de consideracin para la VPN:
Solo a las partes autorizadas se les permite el acceso a aplicaciones y servidores

corporativos.
14
Cualquiera que pase a travs del flujo de datos cifrados de la VPN no debe estar
capacitado para descifrar el mensaje, estos datos viajaran a travs de una red pblica
y cualquiera tendr la capacidad para interceptarlos.
Los datos deben estar intocables al 100 por ciento.
Los usuarios deben tener distintos niveles de acceso.
Los aspectos de interoperabilidad deben tomarse en consideracin.
Se debe tener facilidad de administracin.
Es importante tener las ramificaciones legales.
Todos estos puntos son importantes para una VPN aunque como redactamos anteriormente
el tema de seguridad es muy extenso, multifactico, las organizaciones piensan distinto en
cuanto a cmo implementar una buena poltica de seguridad, como vigilar el trfico
entrante y saliente, esto repercute en su persona, ya que se hace tedioso, molesto etc. Por lo
consiguiente cada empresa debe adecuarse al tipo de seguridad que requiere.
En cualquier organizacin, la informacin (no solo datos, sino la informacin confiable,
precisa y crtica en el negocio) es un activo comercial crtico. Mientras que la tecnologa
facilita la obtencin de esta valiosa informacin en minutos y/o en horas o das, la
contraparte es la seguridad. Para alguien que trabaja en casa, en una oficina remota o con
un equipo distante en algn lugar del mundo, conseguir estos datos en minutos significa el
trabajo completo, la presentacin terminada y el contrato firmado, pero tambin significa
abrirse a los riesgos que estn asociados con los beneficios como la alteracin de los datos.
1.2 Ventajas y Desventajas de una Red Privada Virtual (VPN)

El mundo ha cambiado bastante en las ltimas dcadas. Cada vez ms, la necesidad de
conectarse a Internet y comunicarse con sitios remotos se est haciendo prioritaria. Las
empresas, sobre todo, necesitan una forma rpida, segura y fiable de comunicarse, sin
importar donde se encuentran sus oficinas.
Hasta hace poco, lo normal era utilizar alguna de las diferentes tecnologas de Red de rea
Amplia (WAN) disponibles, como por ejemplo las lneas dedicadas o contratadas, que
15
mantenan conexiones exclusivas para grupos y compaas. El uso de la Red Digital de

Servicios Integrados (RDSI) por medio de conexiones de fibra ptica, provean a la
compaa una manera de extender su red privada ms all de su rea geogrfica. Una red
WAN dedicada a un cliente tiene ventajas visibles sobre una red pblica como es Internet,
cuando se trata de fiabilidad, rendimiento y seguridad. Pero mantener una red WAN,
particularmente con lneas dedicadas, puede ser bastante caro y normalmente sube de
precio segn la distancia de sus oficinas.
Segn la popularidad de Internet iba creciendo, las redes corporativas se empezaron a
extender de forma rpida. Primero llegaron las Intranet, las cuales estn protegidas por
contrasea para uso exclusivo de empleados de la compaa. Ahora, muchas compaas
estn creando su propia Red Privada Virtual (VPN) para cubrir las necesidades de sus
empleados mviles para poder tener acceso a la red corporativa y de sus oficinas remotas.
Bsicamente, una VPN es una red privada que utiliza una red pblica para conectar sitios
distantes y usuarios alejados entre s. En lugar de utilizar una conexin dedicada contratada
a una compaa proveedora de servicios, una red privada VPN usa conexiones virtuales,
enrutadas por Internet desde la red de la compaa, hasta el lugar remoto.
1.2.1 Ventajas de una Red Privada Virtual (VPN)
La principal ventaja de usar una VPN es permitir la conexin de red con todas las
caractersticas de la red privada a la que se quiere acceder desde cualquier lugar.
El cliente VPN adquiere totalmente la condicin de miembro de esa red, con lo cual se le
aplican todas las directivas de seguridad y permisos de una computadora en esa red privada,
pudiendo acceder a la informacin publicada para esa red privada: bases de datos,
documentos internos, etc. a travs de un acceso pblico. Todas las conexiones de acceso a
Internet desde la computadora con el cliente VPN se realizarn usando los recursos y
conexiones que tenga la red privada. La reduccin de costos en los sistemas de
comunicacin de la empresa es evidente. Se diversifican las conexiones con las que
podemos trabajar, como telefona fija, conexin de banda ancha (Lnea de Abonado Digital
Asimtrica, ADSL), Red Digital de Servicios Integrados (RDSI).
16
Se estima que una solucin VPN para una determinada empresa puede reducir sus costos
entre un 30% y un 50% comparada con las conexiones punto a punto.
1.2.2 Desventajas de una Red Privada Virtual (VPN)
Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes
pblicas y tomar precauciones en su desarrollo. Estas redes dependen de un rea externa a
la organizacin, Internet en particular, y por lo tanto depende de factores externos al control
de la organizacin. Las diferentes tecnologas de VPN podran no trabajar bien juntas. Las
redes VPN necesitan diferentes protocolos.
1.3 Arquitectura de la Red Privada Virtual (VPN)

Existen innumerables opciones para la instalacin de la Red Privada Virtual, desde la VPN
independiente basada en caja negra y la VPN basada en ruteador hasta la VPN basada en
software y FireWall. Adems de estas arquitecturas, existe una amplia variedad de servicios
y caractersticas que pueden implementarse en estos dispositivos. Podramos instalar casi
cualquier caracterstica que deseramos, desde la autenticacin de usuarios y el filtrado web
hasta software antivirus.
Dentro de las posibles arquitecturas que encontramos dentro de las VPN se pueden
mencionar las que se vern a continuacin.
1.3.1 Redes Privadas Virtuales basadas en FireWall
Las Redes Privadas Virtuales basadas con FireWall probablemente son la forma ms
comn de implementacin de la VPN, y muchos proveedores ofrecen este tipo de
configuracin. Actualmente sera difcil encontrar una organizacin conectada a Internet
que no utilice algn tipo de FireWall. Debido a que estas organizaciones ya estn
conectadas a Internet, todo lo que se necesitara es aadir software de cifrado, si el Fire
Wall fue adquirido recientemente ya tendr incluida esta tecnologa de cifrado.
17
1.3.2 Redes Privadas Virtuales basadas en caja negra

Las Redes Privadas Virtuales basadas con caja negra constan bsicamente de un dispositivo
cargado con software de cifrado para crear un tnel de VPN. Algunas cajas negras vienen
con software que se ejecuta en un equipo cliente de escritorio para ayudar a administrar el
dispositivo, y otras pueden configurarse a travs de un explorador web. Se cree que estos
tipos de dispositivos de cifrado de hardware son ms veloces que los tipos de software, ya
que crean tneles ms rpidos bajo demanda y ejecutan el proceso de cifrado con mayor
rapidez.
1.3.3 Redes Privadas Virtuales basadas en ruteadores
Las Redes Privadas Virtuales basadas con ruteadores son adecuadas para una organizacin
que ha hecho una gran inversin en ruteadores y cuyo personal tiene experiencia en ellos.
Muchos proveedores de ruteadores soportan esta configuracin. Existen dos tipos que a
continuacin se mencionan, en uno de ellos el software se aade al ruteador para permitir el
proceso de cifrado ocurra. En el segundo mtodo se inserta una tarjeta externa de otro
proveedor en el mismo chasis del ruteador. Este mtodo est diseado para endosar el
proceso de cifrado del CPU del ruteador a la tarjeta adicional.
1.3.4 Redes Privadas Virtuales basadas en acceso remoto
Las Redes Privadas Virtuales basadas con acceso remoto es el software que se ejecuta en
las mquinas de los usuarios remotos, las cuales estn tratando de crear un tnel hacia su
organizacin y a un dispositivo en su red que le permita la conexin. Este dispositivo podr
ser un ruteador, un Fire Wall, una caja negra o un servidor de autenticacin independiente,
concediendo el acceso a la red.
1.4 Topologas de VPN

As como existen incontables maneras para adquirir e implementar una arquitectura de
VPN, tambin existen muchas formas de colocar esta arquitectura en una topologa de
18
VPN. La topologa nos indica el lugar que le corresponde a cada dispositivo y

configuracin dentro de la red privada virtual.
Para elegir la topologa que ms nos conviene es necesario visualizar la red de conexin de
Internet, despus examinar las oficinas remotas que tendrn su propia conexin a Internet y
donde quiere crear el tnel de VPN.
1.4.1 Topologa de Cortafuego/VPN a cliente
Esta es la topologa de uso ms comn y prcticamente todas las organizaciones que
implementan una VPN ya que cualquiera que se conecte a Internet tienen un cortafuego
instalado, y todo lo que necesitan es agregar un software de VPN de cortafuego. Adems de
que es la ms fcil de configurar.
Esta topologa utiliza la configuracin cliente/VPN tpica, en ella hay dos componentes que
deben habilitarse para establecer la comunicacin:
El dispositivo de cortafuego/VPN debe ejecutar algn tipo de cdigo VPN. Existen muchas
formas de realizar esto; algunos cortafuegos tiene incluida en su cdigo la capacidad de
crear una VPN, as que las reglas debern agregarse al cortafuego. Con algunos fabricantes
ser necesario agregar ms software
El equipo porttil tiene una pila de VPN instalada. Se trata de una pila de VPN puesto que
una aplicacin de VPN implicara que el cdigo corriera en el nivel 7 del modelo OSI. La
pila de VPN en realidad se encuentra entre los niveles 2 (enlace de datos) y 3 (red).
En esta topologa se debe de utilizar el mismo cifrado tanto del fabricante como del
cortafuego/VPN, ya que si no es as no existir comunicacin entre estos.
Proceso de comunicacin entre el equipo porttil y el servidor interno una vez que se han
complementado las configuraciones:
19
1. El usuario con el equipo porttil marca su PSI y establece una conexin PPP.
2. El equipo porttil solicita las claves del dispositivo de cortafuego/VPN. Este puede
ser un paso manual realizado por el usuario o un paso automtico configurado por el
software.
3. El cortafuego VPN responde con la clave apropiada.
4. El software de VPN instalado en el equipo porttil espera que el usuario intente
tener acceso al servidor interno (conocido como la direccin IP de destino). Si el
usuario visita cualquier sitio destino al de la red corporativa, no pasa nada. Ahora el
usuario quiere hacer conexin con el servidor interno. El software que se ejecuta en
el equipo porttil ve la solicitud (de nuevo conocida como direccin IP), cifra en
paquete y lo enva a la direccin IP pblica de la combinacin cortafuego/VPN.
5. El dispositivo de cortafuego/VPN le quita la direccin IP, descifra el paquete y lo
enva al servidor dentro de la LAN local.
6. El servidor interno responde la solicitud y enva el documento de regreso.
7. El cortafuego/VPN examina el trfico y por su tabla sabe que es una configuracin
de tnel de VPN. As que toma el paquete, lo cifra y lo enva al equipo porttil.
8. La pila de VPN en el equipo porttil ve el flujo de datos, sabe que viene del
dispositivo de cortafuego/VPN, descifra el paquete y lo maneja en aplicaciones de
niveles superiores.
Este tipo de configuracin permite que VPN tenga una gran flexibilidad y bajos costos
debido a que puede utilizar Internet como su propia red privada.
1.4.2 Topologa de VPN/LAN a LAN
Por lo general las organizaciones utilizan la topologa de cortafuego/VPN a clientes, esta es
extendida a distintas oficinas remotas. Tambin se utiliza entre oficinas de distintos
clientes/fabricantes, creando un tnel VPN entre dos sitios.
Antes de realizar la comunicacin, los componentes que deben habilitarse son los
siguientes:
20
1. El administrador de cada sitio est de acuerdo con el cifrado DES. El software de

VPN de cada dispositivo crea una clave nica.
2. Si se trata de un producto de cortafuego/VPN, el administrador de cada oficina
establece una regla, por ejemplo, que todo el trabajo destinado a la otra terminal
debe cifrarse.
3. El usuario final utiliza una aplicacin FTP en su escritorio para intentar conectarse
al servidor.
4. El paquete
abandona el escritorio en texto sencillo y llega al dispositivo de
cortafuego/VPN.
5. El paquete es cifrado y se enva a la direccin IP pblica del dispositivo de
cortafuego/VPN de la otra oficina.
6. El cortafuego/VPN acepta y descifra el paquete y lo reenva a su destino final.
7. El servidor recibe el paquete y responde.
8. Enva un paquete en texto sencillo a su dispositivo de cortafuego/ VPN Local.
9. Despus el cortafuego/ VPN lo cifra y lo enva al otro cortafuego/ VPN.
10. El cortafuego/ VPN lo descifra y finalmente lo enva de regreso al usuario original.
El servidor no necesita una configuracin especial, puesto que cree que est enviando una
solicitud y una respuesta normales.
Los aspectos importantes aqu son los relacionados con el enrutamiento: tanto la mquina
del usuario como la del servidor deben saber a qu direcciones enrutar el dispositivo de
cortafuego/ VPN.
1.4.3 Topologa de cortafuego/ VPN a Internet/ extranet
Las intranets y las extranets son servicios de Internet comunes y de todos los das. En la
tecnologa VPN estos servicios no han cambiado, pero ahora tienen un nivel adicional de
cifrado.
Con la tecnologa VPN, se puede tener acceso internamente o externamente a cualquier
servicio. Esto tiene dos condiciones. Primero se cuenta con flexibilidad para que una
21
mquina se encargue de ambos y por lo tanto se reduce la redundancia. La segunda

condicin es la seguridad; ahora los usuarios externos pueden tener acceso a estos
servidores.
1.4.4 Topologa de VPN/tramas a ATM
Algunos negocios no creen en la eficacia de Internet para transmitir informacin crticacomercial debido a sus aspectos de seguridad. Es una razn de porque las compaas
construyen intranets empleando solo lneas rentadas o enlaces basados en retransmisin de
tramas para conectarse a sus sitios. Por lo tanto, las redes privadas virtuales pueden
configurarse sobre una infraestructura compartida tal como ATM o topologas de redes
basadas en tramas.
Este tipo de topologas generalmente se configura de dos maneras. La primera es IP sobre
una infraestructura de red de tramas/ ATM. Esta configuracin combina el nivel de
aplicacin de los servicios IP sobre la capacidad de una red ATM. Dependiendo de la
configuracin del equipo, los paquetes IP se convierten en celdas y se transfieren sobre una
red de ATM. El proceso de cifrado se ejecuta en estos paquetes antes de la conversin a
celdas, y las celdas que contienen la carga IP cifrada se conmutan al destino final.
La segunda opcin es la del grupo de trabajo de Conmutacin de etiquetas multiprotocolo
(MPLS) del Grupo de trabajo de Ingeniera de Internet (IETF). En esta topologa de red, los
conmutadores inteligentes reenvan dinmicamente el trfico IP en paralelo junto con el
trfico ATM en la misma red ATM. Al paquete se le aplica un campo que contiene un ID
nico que identifica el destino final. Todos los conmutadores de esta red ATM examinan
este campo y lo reenva a su destino apropiado. El atributo de la seguridad de esto es que el
paquete solo se reenva a su destino, evitando as el espionaje. Cualquier proceso de cifrado
que pueda utilizarse aqu solo se aplica a la porcin de datos, antes de enviarlo a la nube
ATM. Debido a que esta configuracin aplica un campo al paquete, no se puede cifrar los
encabezados del paquete: no obstante, se podra cifrar la carga til, lo que implica que la
funcionalidad completa IPSec no se implementar. Sin embargo, al cifrar la carga y
conmutarla slo a su destino, s existe seguridad.
22
1.4.5 Topologa de VPN de hardware (caja negra)

Las VPN de hardware o cajas negras, son dispositivos independientes que implementan
algoritmos de tecnologa de VPN. Algunas soportan normas de cifrado como DES de 40
bits y 3DES.
Los dispositivos de hardware comienzan a tener servicios adicionales como cortafuegos,
antivirus y capacidad de enrutamiento. Por lo general incluyen software adicional que se
instala en el equipo de escritorio para permitir la configuracin y el mantenimiento de ese
dispositivo.
Un par de problemas con los dispositivos hardware:
1. Problemas de desempeo con pequeos paquetes de 64 bytes, esto puede ser
importante si la mayor parte de su trfico consiste en pequeos paquetes de datos.
2. Funcionamiento limitado de subred. Algunos dispositivos presentan problemas para
garantizar el acceso interno irrestricto
a los usuarios si la red interna esta
subdividida.
1.4.6 Topologa de VPN/NAT

La traduccin de direcciones de red es el proceso de cambiar una direccin IP (por lo
general la direccin privada de una compaa) a una direccin pblica enrutable. NAT
proporciona un mecanismo para ocultar la estructura de la direccin privada de una
compaa. Utilizar la traduccin de direcciones de red no es complicado pero la ubicacin
del dispositivo VPN es importante.
1.5 Trfico de entrada y salida de la VPN

1. Todo el trfico que viene de un enrutador interno se dirige al dispositivo NAT para
cambiar la direccin IP original del dispositivo que lo solicita a una direccin IP
pblica enrutable.
23
2. Despus el dispositivo NAT reenva el paquete al dispositivo VPN que realiza el

proceso de cifrado del paquete.
3. El paquete se enva al enrutador externo y finalmente a su destino.
1.6 Trfico de entrada de la VPN

1. Primero los paquetes de VPN entrantes debe dirigirse al dispositivo VPN; este
dispositivo quita la carga de cifrado del paquete
y revisa los privilegios de
autentificacin.
2. El paquete se enruta al dispositivo de traduccin de direcciones de red para remitirlo
a su direccin IP original (interna). En este caso el cortafuego est a cargo de NAT.
3. El dispositivo NAT enruta el paquete (con su nueva direccin IP de origen) al
enrutador interno.
1.7 Topologa de conmutacin de VPN

Esta topologa utiliza conmutadores de nivel 3 que crean tneles bajo solicitud. Tienen la
capacidad para crear y asignar caractersticas de tneles y conmutar trfico multiprotocolo.
Supuestamente realizan cifrado, encapsulamiento y enrutamiento multiprotocolo a la
velocidad del cable. Puede soportar una conmutacin basada en las polticas del protocolo
de red, esto significa que basndose en la poltica instalada, pueden conmutar el trfico de
la configuracin de tramas en un sentido y el trfico a Internet en otra direccin. Adems
estos conmutadores de VPN incluyen software para mantenimiento remoto que proporciona
capacidad de planeacin, tolerancia frente a las fallas de informacin estadstica, como en
la utilizacin de tneles y calidad del servicio de supervisin.
24
Captulo II. Fundamentos de los Sistemas de Informacin

2.1 Sistemas de informacin
Todo sistema organizacional depende en mayor o menor medida, de una entidad abstracta
denominada sistema de informacin. Este sistema es el medio por el cual los datos fluyen
de una persona o departamento hacia otros y puede ser cualquier cosa, desde la
comunicacin interna entre los diferentes componentes de la organizacin y lneas
telefnicas hasta sistemas de cmputo que generan reportes peridicos para varios usuarios.
Los sistemas de informacin proporcionan servicio a todos los dems sistemas de la
organizacin y enlazan todos sus componentes en forma tal que stos trabajen con
eficiencia para alcanzar el mismo objetivo.
Existen dos tipos de sistemas, los sistemas abiertos y los cerrados. Los sistemas abiertos se
caracterizan por interactuar con su medio ambiente, en contraste, los sistemas cerrados
sostienen su nivel de operacin siempre y cuando posean informacin de control adecuada
y no necesiten nada de su medio ambiente. Dado que esta condicin no puede sostenerse
por mucho tiempo, la realidad es que no existen sistemas cerrados. El concepto, sin
embargo, es importante porque ilustra un objetivo en el diseo de sistemas: construir
sistemas que necesiten la menor intervencin del medio externo para mantener un
desempeo aceptable. Por consiguiente, la autorregulacin y el propio ajuste son objetivos
de diseo en todos los ambientes de sistemas. Los sistemas de informacin
organizacionales estn formados por subsistemas que incluyen hardware, software, medios
de almacenamiento de datos para archivos y bases de datos. El conjunto particular de
subsistemas utilizados es lo que se denomina una aplicacin de sistemas de informacin.
25
2.2 Categoras de los sistemas de informacin

2.2.1 Sistemas para el procesamiento de transacciones
Los sistemas de procesamiento de transacciones (TPS por sus siglas en ingls) tienen como
finalidad mejorar las actividades rutinarias de una empresa y de las que depende toda la
organizacin.
Una transaccin es cualquier suceso o actividad que afecta a toda la organizacin como
puede ser la facturacin, pago a empleados, etc.
El procesamiento de transacciones en su mayora incluye las siguientes actividades:
Clculos
Almacenamiento y recuperacin
Clasificacin
Generacin de resmenes
Ordenamiento
Hablando de las caractersticas de las transacciones, por lo general se tienen las siguientes:
Gran volumen.
Gran similitud entre transacciones.
Los procedimientos para su procesamiento son bien comprendidos y pueden
describirse a detalle.
Existen muy pocas excepciones a los procedimientos normales.
Estas caractersticas permiten escribir rutinas, las cuales describirn que buscar en cada
transaccin, los pasos y procedimientos a seguir, y lo que debe hacerse en caso de
presentarse una excepcin.
2.2.2 Sistemas de informacin administrativa
Los sistemas de informacin administrativa (MIS por sus siglas en ingls) ayudan a los
directivos a tomar decisiones y resolver problemas. Los directivos recurren a los datos
26
almacenados como consecuencia del procesamiento de transacciones, pero tambin

emplean otra informacin.
Este tipo de sistemas estn orientados a las decisiones cuyos procesos para tomarlas estn
claramente definidos, y as, se puede identificar la informacin necesaria que ayudar a
formularlas. Con frecuencia, los especialistas en sistemas de informacin describen este
tipo de decisiones como estructuradas.
Debido a que la toma de este tipo de decisiones se toma con frecuencia, es necesario
preparar con anterioridad la informacin en forma de reportes los cuales de antemano ya
tienen un formato y un contenido definido.
2.2.3 Sistemas para el soporte de decisiones
No todas las decisiones son de naturaleza recurrente. Algunas se presentan slo una vez o
escasamente por lo cual no se tienen procedimientos claramente definidos para tomarlas y
tampoco es posible identificar, con anticipacin, todos los factores que deben considerarse
en la decisin.
Los sistemas para el soporte de decisiones (DSS por sus siglas en ingls) ayudan a los
directivos que deben tomar decisiones no muy estructuradas, tambin denominadas no
estructuradas o decisiones semiestructuradas.
Un factor clave en estos sistemas es determinar la informacin necesaria para el soporte de
la decisin.
En este tipo de sistemas es imposible disear de antemano tanto el formato como el
contenido de los reportes del sistema, por lo cual estos sistemas deben tener una mayor
flexibilidad que la de los dems sistemas de informacin. El usuario debe ser capaz de
solicitar informes definiendo su contenido y especificar la forma para producir informacin.
27
El Sistema de Activacin de VPN con un router Cisco 7206 VXR se clasifica como un
sistema para el procesamiento de transacciones.
2.3 Estrategias para el desarrollo de sistemas

Existen tres enfoques al desarrollo de sistemas de informacin basados en computadora:
Mtodo del ciclo de vida para el desarrollo de sistemas.
Mtodo del desarrollo del anlisis estructurado.
Mtodo del prototipo de sistemas.
Estos tres enfoques se describen en la siguiente tabla.
Tabla 2.1 Caractersticas de las estrategias opcionales para el desarrollo de sistemas
Estrategia de
Descripcin
Caractersticas de aplicacin
desarrollo
Mtodo del ciclo de Incluye las actividades de Requerimientos del sistema
vida de desarrollo de investigacin
sistemas.
preliminar, de informacin predecibles.
determinacin
de Manejable como proyecto.
requerimientos, diseo del Requiere que los datos se

sistema,
desarrollo
de encuentren en archivos
software, prueba del sistema bases de datos.

e implementacin.
Gran
volumen
transacciones
de
y
procesamiento.
Requiere de la validacin de
los datos de entrada.
Abarca varios departamentos.
Tiempo de desarrollo largo.
Desarrollo por equipos de
proyecto.
28
Mtodo
de
estructurado.
anlisis Se enfoca en lo que el Adecuado para todo tipo de

sistema
realizan sin
aplicacin aplicaciones.
importar
la Mayor
utilidad
forma en que llevan a cabo complemento
como
de
otros
su funcin (se abordan los mtodos de desarrollo.

aspectos lgicos y no los
fsicos). Emplea smbolos
grficos para describir el
movimiento
procesamiento de datos. Los

componentes
importantes
incluyen los diagramas de

flujo
de
datos
el
diccionario de datos.
Mtodo del prototipo Desarrollo iterativo o en Condiciones nicas de
de sistemas.
continua evolucin donde el aplicacin

usuario
participa encargados
directamente en el proceso.
donde
del
la
los
desarrollo
tienen poca experiencia o

informacin,
donde los
costos y riesgos de cometer

un error pueden ser altos.
Asimismo, til para probar a
la factibilidad del sistema,
identificar los requerimientos
del usuario, evaluar el diseo
de un sistema o examinar el
uso de una aplicacin.
Para el Sistema de Activacin de VPN con un router Cisco 7206 VXR se ha preferido la
estrategia Mtodo del ciclo de vida de desarrollo de sistemas que aunque es relativamente
29
ms lento en cuanto al desarrollo del sistema que los dems, es el ms administrable

pudindose llevar a manera de proyecto con todas las ventajas que esto tiene como la
mxima seguridad en la duracin del desarrollo, el costo y control en todo momento de los
dos anteriores.
2.4 Ciclo de vida clsico del desarrollo del sistema

El mtodo del ciclo de vida para desarrollo de sistemas (SDLC por sus siglas en ingls) es
el conjunto de actividades que los analistas, diseadores y usuarios realizan para desarrollar
e implantar un sistema de informacin.
Las actividades del SDLC son:
Investigacin preliminar.
Determinacin de los requerimientos del sistema.
Diseo del sistema.
Desarrollo de software.
Prueba de los sistemas.
Implantacin y evaluacin.
30
Figura 2.1 Ciclo de vida de desarrollo de sistemas

2.4.1 Investigacin preliminar
La solicitud para recibir ayuda de un sistema de informacin es la que da paso a la primera
actividad de sistemas: la investigacin preliminar.
Esta actividad consta de tres partes:
1. Aclaracin de la solicitud. Muchas solicitudes que provienen de empleados y
usuarios no estn formuladas de manera clara. Por consiguiente, antes de comenzar
cualquier investigacin preliminar, la solicitud debe examinarse para determinar con
precisin lo que el solicitante desea, y de ser necesario pedir una aclaracin.
2. Estudio de factibilidad. Un resultado importante de la investigacin preliminar es la
determinacin de que el sistema solicitado sea factible. La factibilidad se divide en
tres aspectos.
Factibilidad tcnica: El trabajo para el proyecto puede realizarse, con el equipo

actual, tecnologa existente, y el personal disponible. Si se necesita una nueva
tecnologa, es posible desarrollarla.
31
Factibilidad econmica: Los beneficios que traer el sistema son suficientes para
aceptar el costo. Los costos al no realizar el problema son tan grandes que se
debe aceptar el proyecto.
Factibilidad operacional: Si se desarrolla, el sistema ser utilizado, y habr poca

o ninguna resistencia para con los usuarios debido a los beneficios de dicho
sistema.
3. Aprobacin de la solicitud. Despus de aprobar la solicitud, la administracin le

asigna una prioridad al proyecto solicitado frente a otras aprobaciones, esto
mediante la estimacin del costo del proyecto, el tiempo necesario para terminarlo,
y las necesidades del personal. Cuando llega el momento, se inicia el desarrollo de
la aplicacin propuesta.
2.4.2 Determinacin de los requerimientos del sistema
El aspecto fundamental del anlisis de sistemas es comprender todas las facetas importantes
de la parte de la empresa que se encuentra bajo estudio. Esta investigacin es llamada
investigacin detallada y es llevada a cabo mediante el trabajo conjunto de los analistas con
los empleados y administradores, donde deben estudiar los procesos de la empresa para dar
respuesta a las siguientes preguntas clave:
1. Qu es lo que se hace?
2. Cmo se hace?
3. Con qu frecuencia se presenta?
4. Qu tan grande es el volumen de transacciones o de decisiones?
5. Cul es el grado de eficiencia con el que se efectan las tareas?
6. Existe algn problema?
7. Si existe un problema, Qu tan serio es?
8. Si existe un problema, Cul es la causa que lo origina?
Asimismo, las investigaciones detalladas requieren el estudio de manuales y reportes, la
observacin en condiciones reales, de las actividades de trabajo, y en algunas ocasiones,
muestras de formas y documentos con el fin de comprender el proceso en su totalidad.
32
Toda la informacin recabada ayuda a identificar las caractersticas que debe tener el nuevo
sistema.
2.4.3 Diseo del sistema
El diseo de un sistema de informacin produce los detalles que establecen la forma en la
que el sistema cumplir con los requerimientos identificados durante la fase de anlisis.
Los analistas de sistemas comienzan el proceso de diseo identificando los reportes y
dems salidas que debe producir el sistema. Hecho lo anterior se determinan con toda
precisin los datos especficos para cada reporte y salida.
El diseo de un sistema tambin indica los datos de entrada, aquellos que sern calculados
y los que deben ser almacenados. Asimismo, se describen con todo detalle los
procedimientos de clculo y los datos individuales.
Los documentos que contienen las especificaciones de diseo representan a ste de muchas
maneras (diagramas, tablas, y smbolos especiales). La informacin detallada del diseo se
proporciona al equipo de propagacin para comenzar la fase de desarrollo de software.
Los diseadores son los responsables de dar a los programadores las especificaciones de
software completas y claramente delineadas. Una vez comenzada la fase de programacin,
los diseadores contestan preguntas, aclaran dudas y manejan problemas que enfrentan los
programadores cuando utilizan las especificaciones de diseo.
2.4.4 Desarrollo de software
Los encargados de desarrollar software pueden instalar software comprado a terceros o
escribir programas diseados a la medida del solicitante, as como tambin son los
encargados de la documentacin de los programas y de proporcionar una explicacin de
cmo y porqu ciertos procedimientos se codifican en determinada forma. La
documentacin es esencial para probar el programa y llevar a cabo el mantenimiento una
vez que la aplicacin se encuentra instalada.
33
2.4.5 Prueba del sistema

En esta fase, el sistema se emplea de manera experimental para asegurarse que no tenga
fallas, es decir, que funciona de acuerdo con las especificaciones y en la forma en que los
usuarios esperan que lo haga.
Bsicamente, se alimentan como entradas un conjunto de datos de prueba para su
procesamiento y despus se examinan los resultados.
Las pruebas deberan ser realizadas por personas ajenas al desarrollo del sistema, esto para
asegurar que las pruebas sean completas e imparciales, y as obtener un software ms
confiable. Es recomendable que los analistas estn presentes en la realizacin de las
pruebas, para observar si se trata de usar el sistema de formas imprevistas.
2.4.6 Implantacin y evaluacin
La implantacin es el proceso de verificar e instalar nuevo equipo, entrenar a usuarios,
instalar la aplicacin y construir todos los archivos de datos necesarios para utilizarla.
Una vez instaladas, las aplicaciones se emplean durante muchos aos. Sin embargo, las
organizaciones y los usuarios cambian con el paso del tiempo, incluso el ambiente es
diferente con el paso de las semanas y los meses. Por consiguiente, es indudable que debe
darse mantenimiento a las aplicaciones; realizar cambios y modificaciones. Debido a lo
anterior, la implantacin es un proceso en constante evolucin. La evaluacin de un sistema
se lleva a cabo para identificar puntos dbiles y fuertes, y ocurre a lo largo de cualquiera de
las siguientes dimensiones:
Evaluacin operacional
Valoracin de la forma en que funciona el sistema, incluyendo su facilidad de uso, tiempo
de respuesta, lo adecuado de los formatos de informacin, confiabilidad global y nivel de
utilizacin.
34
Impacto organizacional
Identificacin y medicin de los beneficios para la organizacin en reas tales como
finanzas, eficiencia operacional e impacto competitivo. Tambin se incluye el impacto
sobre el flujo de informacin interno y externo.
Opinin de los administradores
Evaluacin de las actitudes de directivos y administradores dentro de la organizacin as
como de los usuarios finales.
Desempeo del desarrollo
La evaluacin del proceso de desarrollo de acuerdo con los criterios tales como tiempo y
esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros criterios de
administracin de proyectos. Tambin se incluye la valoracin de los mtodos y
herramientas utilizados en el desarrollo.
35
Captulo III. Configuracin VRF (VPN routing/forwarding)

El ruteador es un dispositivo de propsito general diseado para segmentar la red, con la
idea de limitar trfico de broadcast y proporcionar seguridad, control y redundancia entre
dominios individuales de broadcast, tambin puede dar servicio de firewall y un acceso
econmico a una WAN. El ruteador opera en la capa 3 del modelo OSI (capa de red) y
tiene ms facilidades de software que un switch. Al funcionar en una capa mayor que la del
switch, el ruteador distingue entre los diferentes protocolos de red, tales como IP, IPX,
AppleTalk o DECnet. Esto le permite hacer una decisin ms inteligente que al switch, al
momento de reenviar los paquetes. Este dispositivo permite asegurar el enrutamiento de
paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.
El ruteador realiza dos funciones bsicas:
El ruteador es responsable de crear y mantener tablas de ruteo para cada capa de protocolo
de red, estas tablas son creadas ya sea estticamente o dinmicamente. De esta manera el
ruteador extrae de la capa de red la direccin destino y realiza una decisin de envi basado
sobre el contenido de la especificacin del protocolo en la tabla de ruteo.
La inteligencia de un ruteador permite seleccionar la mejor ruta, basndose sobre diversos
factores, ms que por la direccin MAC destino. Estos factores pueden incluir la cuenta de
saltos, velocidad de la lnea, costo de transmisin, retraso y condiciones de trfico. La
desventaja es que el proceso adicional de procesado de frames por un ruteador puede
incrementar el tiempo de espera o reducir el desempeo del ruteador cuando se compara
con una simple arquitectura de switch.
36
Los protocolos de ruteo son aquellos protocolos que utilizan los ruteadores para
comunicarse entre s y compartir informacin que les permita tomar la decisin de cul es
la ruta ms adecuada en cada momento para enviar un paquete. Los protocolos ms usados
son RIP (v1 y v2) (Routing Information Protocol), OSPF (v1, v2 y v3) (Open Shortest Path
First), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway
Routing Protocol) y BGP (v4) (Border Gateway Protocol), que se encargan de gestionar las
rutas de una forma dinmica, aunque no es estrictamente necesario que un ruteador haga
uso de estos protocolos, pudindosele indicar de forma esttica las rutas (caminos a seguir)
para las distintas subredes que estn conectadas al dispositivo.
Los ruteadores operan en dos planos diferentes:
Plano de Control, en la que el ruteador se informa de que interfaz de salida es la ms
apropiada para la transmisin de paquetes especficos a determinados destinos.
Plano de Reenvo, que se encarga en la prctica del proceso de envo de un paquete
recibido en una interfaz lgica a otra interfaz lgica saliente.
Comnmente los ruteadores se implementan tambin como puertas de acceso a Internet
(por ejemplo un ruteador ADSL), usndose normalmente en casas y oficinas pequeas.
Existe la posibilidad de no utilizar equipos dedicados, opcin que puede ser la ms
adecuada para redes locales o redes con un trfico limitado, y usar software que
implemente los protocolos de red antes mencionados. Para dar funcionalidad de ruteador a
una PC con sistemas operativos unix-like como pueden ser GNU/Linux o BSD, es
suficiente con aadirle al menos dos interfaces de red y activar el soporte de ruteo en el
ncleo. Si se desea proporcionarle la funcionalidad de un ruteador completo, y que soporte
diversos protocolos de red.
37
3.1 Protocolo de Gateway Fronterizo o Border Gateway Protocol

El Border Gateway Protocol (BGP) es un protocolo mediante el cual se intercambia
informacin de encaminamiento entre Sistemas Autnomos (conjunto de ruteadores
dirigidos por la misma autoridad y que usan un mismo protocolo interno de distribucin y
actualizacin de informacin de encaminamiento (IGP). Por ejemplo, los proveedores de
servicio de internet (ISP) registrados en Internet suelen componerse de varios sistemas
autnomos. Actualmente entre los sistemas autnomos de los ISP se intercambian sus
tablas de rutas a travs del protocolo BGP. Este intercambio de informacin de
encaminamiento se hace entre los ruteadores externos de cada sistema autnomo. Estos
ruteadores deben soportar BGP. Se trata del protocolo ms utilizado para redes con
intencin de configurar un Protocolo de Gateway Externo o External Gateway Protocol
(EGP).
La forma de configurar y delimitar la informacin que contiene e intercambia el protocolo
BGP es creando lo que se conoce como Sistema Autnomo. Cada sistema autnomo (AS)
tendr conexiones o, mejor dicho, sesiones internas (iBGP) y adems sesiones externas
(eBGP).
A diferencia de los protocolos de Gateway internos (IGP), como RIP, OSPF y EIGRP, BGP
no usa mtricas como nmero de saltos, ancho de banda, o retardo. En cambio, BGP toma
decisiones de enrutamiento basndose en polticas de la red, o reglas que utilizan varios
atributos de ruta BGP.
3.2 Conmutacin Multi-Protocolar mediante Etiquetas MPLS

MPLS (siglas de Multiprotocol Label Switching) es un mecanismo de transporte de datos
estndar creado por la IETF y definido en el RFC 3031. Opera entre la capa de enlace de
datos y la capa de red del modelo OSI. Fue diseado para unificar el servicio de transporte
de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado
para transportar diferentes tipos de trfico, incluyendo trfico de voz y de paquetes IP.
38
3.2.1 Caractersticas bsicas y funcionamiento

La tecnologa IP ofrece un servicio no orientado a conexin mediante el transporte de
datagramas:
- No mantiene un "estado" de la comunicacin entre dos nodos.
- No ofrece circuitos virtuales.
MPLS es una nueva tecnologa de conmutacin creada para proporcionar circuitos virtuales
en las redes IP.
Introduce una serie de mejoras respecto a IP:
- Redes privadas virtuales.
- Ingeniera de trfico.
- Mecanismos de proteccin frente a fallos.
MPLS funciona anexando un encabezado a cada paquete. Dicho encabezado contiene una o
ms "etiquetas", y al conjunto de etiquetas se le llama pila o "stack". Cada etiqueta consiste
de cuatro campos:
Valor de la etiqueta de 20 bits.
Prioridad de Calidad de Servicio (QoS) de 3 bits. Tambin llamados bits experimentales.
Bandera de "fondo" de la pila de 1 bit.
Tiempo de Vida (TTL) de 8 bits.
Estos paquetes MPLS son enviados despus de una bsqueda por etiquetas en vez de una
bsqueda dentro de una tabla IP. De esta manera, cuando MPLS fue concebido, la
bsqueda de etiquetas y el envo por etiquetas eran ms rpido que una bsqueda RIB
39
(Base de informacin de Ruteo), porque las bsquedas eran realizadas en el switch de

fbrica y no en la CPU.
Los puntos de entrada en la red MPLS son llamados Ruteadores de Etiqueta en Orilla
(LER), es decir ruteadores que son interfaces entre la red MPLS y otras redes. Los
ruteadores que efectan la conmutacin basados nicamente en etiquetas se llaman
Ruteadores Conmutadores de Etiqueta (LSR). Cabe notar que un LER es simplemente un
LSR que cuenta con la habilidad de rutear paquetes en redes externas a MPLS.
En algunas aplicaciones es posible que el paquete presentado al LER ya contenga una
etiqueta MPLS, en cuyo caso simplemente se anexar otra etiqueta encima. Un aspecto
relacionado que resulta importante es PHP.
Las etiquetas son distribuidas usando el Protocolo de Distribucin de Etiquetas (LDP). Es
precisamente mediante el protocolo LDP que los ruteadores de etiquetas intercambian
informacin acerca de la posibilidad de alcanzar otros ruteadores, y las etiquetas que son
necesarias para ello.
El operador de una red MPLS puede establecer Caminos Conmutados mediante Etiquetas
(LSP), es decir, el operador establece caminos para transportar Redes Privadas Virtuales de
tipo IP (IP VPN), pero estos caminos pueden tener otros usos. En muchos aspectos las
redes MPLS se parecen a las redes ATM y Frame Relay, con la diferencia de que la red
MPLS es independiente del transporte en capa 2 (en el modelo OSI). En el contexto de las
Redes Privadas Virtuales, los ruteadores que funcionan como ingreso o regreso a la red son
frecuentemente llamados ruteadores a la Orilla del Proveedor (ruteadores PE), los
dispositivos que sirven solo de trnsito son llamados similarmente ruteadores de Proveedor
(ruteadores P). Cuando un paquete no etiquetado entra a un ruteador de ingreso y necesita
utilizar un tnel MPLS, el ruteador primero determinar la Clase Equivalente de Envo
(FEC), luego inserta una o ms etiquetas en el encabezado MPLS recin creado. Acto
seguido el paquete salta al ruteador siguiente segn lo indica el tnel.
40
Cuando un paquete etiquetado es recibido por un ruteador MPLS, la etiqueta que se

encuentra en el tope de la pila ser examinada. Basado en el contenido de la etiqueta el
ruteador efectuar una operacin empujar (PUSH), sacar (POP) o intercambiar (SWAP).
En una operacin SWAP la etiqueta es cambiada por otra y el paquete es enviado en el
camino asociado a esta nueva etiqueta. En una operacin PUSH una nueva etiqueta es
empujada encima de otra (si existe). Si en efecto haba otra etiqueta antes de efectuar esta
operacin, la nueva etiqueta "encapsula" la anterior.
En una operacin POP la etiqueta es removida del paquete lo cual puede revelar una
etiqueta interior (si existe). A este proceso se le llama "desencapsulado" y es usualmente
efectuada por el ruteador de egreso con la excepcin de PHP. Durante esta operaciones el
contenido del paquete por debajo de la etiqueta MPLS no es examinado, de hecho los
ruteadores de trnsito usualmente no necesitan examinar ninguna informacin por debajo
de la mencionada etiqueta. El paquete es enviado basndose en el contenido de su etiqueta,
lo cual permite "ruteo independiente del protocolo". En el ruteador de egreso donde la
ltima etiqueta es removida, solo queda la "carga transportada", que puede ser un paquete
IP o cualquier otro protocolo. Por tanto, el ruteador de egreso debe forzosamente tener
informacin de ruteo para dicho paquete debido a que la informacin para el envo de la
carga no se encuentra en la tabla de etiquetas MPLS. En ciertos casos, es posible que la
ltima etiqueta sea removida en el penltimo salto (anterior al ltimo ruteador que
pertenece a la red MPLS); este procedimiento es llamado "remocin en el penltimo salto"
(PHP). Esto es til, por ejemplo, cuando la red MPLS transporta mucho trfico. En estas
condiciones los penltimos nodos auxiliarn al ltimo en el procesamiento de la ltima
etiqueta de manera que este no se vea excesivamente forzado al cumplir con sus tareas de
procesamiento.
En MPLS el camino que se sigue est prefijado desde el origen (se conocen todos los saltos
de antemano): se pueden utilizar etiquetas para identificar cada comunicacin y en cada
salto se puede cambiar de etiqueta (mismo principio de funcionamiento que VPI/VCI en
ATM, o que DLCI en Frame Relay).
41
Paquetes destinados a diferentes IPs pueden usar el mismo camino LSP (pertenecer al
mismo FEC).
Las etiquetas con el mismo destino y tratamiento se agrupan en una misma etiqueta: los
nodos mantienen mucha menos informacin de estado que por ejemplo ATM. Las etiquetas
se pueden apilar, de modo que se puede encaminar de manera jerrquica.
3.2.2 Arquitectura MPLS
LER (Label Edge Router): elemento que inicia o termina el tnel (pone y quita
cabeceras). Es decir, el elemento de entrada/salida a la red MPLS. Un router de
entrada se conoce como Ingress Router y uno de salida como Egress Router. Ambos
se suelen denominar Edge Label Switch Router ya que se encuentran en los
extremos de la red MPLS.
LSR (Label Switching Router): elemento que conmuta etiquetas.
LSP (Label Switched Path): nombre genrico de un camino MPLS (para cierto
trfico o FEC), es decir, del tnel MPLS establecido entre los extremos. A tener en
cuenta que un LSP es unidireccional.
LDP (Label Distribution Protocol): un protocolo para la distribucin de etiquetas
MPLS entre los equipos de la red.
FEC (Forwarding Equivalence Class): nombre que se le da al trfico que se
encamina bajo una etiqueta. Subconjunto de paquetes tratados del mismo modo por
el conmutador.
3.2.3 Cabecera MPLS
Figura 3.1 Cabecera MPLS
42
Donde:
Label (20 bits): Es la identificacin de la etiqueta.
Exp (3 bits): Llamado tambin bits experimentales, tambin aparece como CoS en
otros textos, afecta al encolado y descarte de paquetes.
S (1 bit): Del ingls stack, sirve para el apilado jerrquico de etiquetas. Cuando S=0
indica que hay mas etiquetas aadidas al paquete. Cuando S=1 estamos en el fondo
de la jerarqua.
TTL (8 bits): Time-to-Live, misma funcionalidad que en IP, se decrementa en cada
enrutador y al llegar al valor de 0, el paquete es descartado. Generalmente sustituye
el campo TTL de la cabecera IP.
Figura 3.2 Pila de etiquetas MPLS
3.3 Operacin de VRF

Cada VPN es asociada con una ms instancias de VPN routing/forwarding
(ruteo/direccionamiento) (VRFs). Una VRF define la calidad de miembro de un sitio cliente
unido a un ruteador PE (Provider Edge). Una VRF consiste de una tabla de ruteo IP, una
tabla derivada Cisco Express Forwarding (CEF), un sistema de interfaces que usan la tabla
de direccionamiento,
un sistema de reglas y parmetros del protocolo de ruteo que
controlan la informacin que es incluida en la tabla de ruteo.

Una relacin uno a uno no necesariamente existe entre sitios clientes y VPNs. Un sitio dado
puede ser miembro de mltiples VPNs. Sin embargo, un sitio puede asociarse solamente a
una (y solamente una) VRF. Una VRF de un sitio cliente contiene todas las rutas
disponibles para el sitio VPN de cual es miembro.
La informacin de direccionamiento de los paquetes es almacenada en la tabla de ruteo IP
y la tabla CEF para cada VRF. Un sistema de tablas separadas de ruteo y CEF son
43
mantenidas para cada VRF. Estas tablas evitan que la informacin sea remitida fuera de la
VPN, y tambin previenen que los paquetes estn fuera de la VPN cuando sean remitidos a
un ruteador que no est dentro de la VPN.
3.3.1 Pasos a seguir para la configuracin de la VRF (Seguimiento de ruteo VPN)

Una VRF (VPN routing and forwarding) incluye las tablas de envo y encaminamiento de
los sitios pertenecientes a una VPN. La rutina de configuracin usada para dar de alta una
VRF es la siguiente:
Tabla 3.1 Comandos para crear una VRF
Comandos
Descripcin
configure terminal
Abre una sesin de configuracin del ruteador.
ip vrf nombreVrf
Asigna un nombre a la VRF.
rd nombreRD
Route Distinguisher (RD), permite identificar

unvocamente un prefijo de VPN-IPv4.
export map nombre del Map
Asocia un mapa de rutas seleccionables al VRF.
route-target export nombreRT
Route-Target (RT) que identifica los ruteadores que

deben recibir la ruta y que tiene que exportar.
route-target import
Route-Target (RT) que identifica los ruteadores que
nombreRT
deben recibir la ruta y que tiene que importar.
Para revertir los cambios hechos se hace un rollback como se muestra enseguida:
Tabla 3.2 Rollback de la creacin de una VRF
Comandos
Descripcin
no ip vrf nombreVRF
Destruye el VRF en cuestin
44

Tabla 3.3 Configuracin de direccin de familia
Comandos
Descripcin
router bgp Nmero Proceso
Border Gateway Protocol, es un protocolo
mediante el cual se intercambia informacin de
encadenamiento entre Sistemas Autnomos, en
este caso un conjunto de ruteadores. Mediante el
comando se elige el sistema autnomo en el que
vamos a configurar.
address-family ipv4 vrf
Se elige el iMBGP (internal Multiprotocol BGP)
nombreVRF
para la VPN.
redistribute connected
Se propagan las rutas conectadas entre los equipos
de la red.
redistribute static
Se propagan las rutas estticas entre los equipos de
la red.
Tabla 3.4 Rollback de configuracin de direccin de familia
Comandos
Descripcin
no address-family ipv4 vrf nombreVRF
Se elimina el iMBGP para la VPN.

Tabla 3.5 Comandos de subredes
Comandos
configure terminal
route-map nombre del Map
match ip address
VPNSC_GREY_MGMT_ACL
set extcommunity rt rutas
Descripcin
Comando para entrar a modo edicin de configuracin.
Se exporta el mapa creado.
Hacer coincidir la subred usada por la lista de acceso
VPNSC_GREY_MGMT_ACL.
Las rutas de destino (rt) son exportadas.
Tabla 3.6 Rollback de anuncio de subredes
Comandos
Descripcin
configure terminal
no route-map nombre del
Se elimina el map creado.
Map
45

Tabla 3.7 Configuracin de interfaz de circuito interno
Comandos
Descripcin
configure terminal
interface Nombre
Nombre de la interface.
ip
vrf
forwarding Asociar una interface con una VRF.
Nombre
ip address
Nmero de la IP de la interfaz loopback con su mscara

respectiva.
Tabla 3.8 Configuracin de interfaz de circuito interno.
Comandos
Descripcin
configure terminal
interface Nombre
Nombre de la interface.
no ip address
Nmero IP mscara Borrar la IP y mscara de la interfaz de

loopback.
no ip vrf forwarding
Nombre Borrar la asociacin de la interface con la VRF.
3.3.2 Ejemplo de una configuracin de VRF es el siguiente:

configure terminal
ip vrf V02:VPN_PRUEBA_0
rd 100:8888
export map grey_mgmt_vpn_Uninet_VPN_PRUEBA_0
route-target export 100:9999
route-target import 100:9999
route-target import 100:1029
end
Ver Tabla 3.1 para identificar los comandos usados
46
Script de Rollback
configure terminal
no ip vrf V02:VPN_PRUEBA_0
end
configure terminal
router bgp 100
address-family ipv4 vrf V02:VPN_PRUEBA_0
redistribute connected
redistribute static
end
Script de Rollback
configure terminal
router bgp 100
no address-family ipv4 vrf V02:VPN_PRUEBA_0
end
configure terminal
route-map grey_mgmt_vpn_Uninet_V02:VPN_PRUEBA_0 permit 10
match ip address VPNSC_GREY_MGMT_ACL
set extcommunity rt 100:1030 100:9999
end
47
Script de Rollback
configure terminal
no route-map grey_mgmt_vpn_Uninet_V02:VPN_PRUEBA_0 permit 10
end
configure terminal
interface loopback11
ip vrf forwarding V02:VPN_PRUEBA_0
ip address 10.30.0.1 255.255.255.255
end
Script de Rollback
configure terminal
interface loopback11
no ip address 10.30.0.1 255.255.255.255
no ip vrf forwarding V02:VPN_PRUEBA_0
end
48
Captulo IV. Diseo del Sistema de Activacin de VPN

La solucin del sistema consisti en la unin de una aplicacin Web desarrollado en Java,
agentes o programas que interacten con cada uno de los ruteadores de la red a manipular,
una base de datos Oracle versin 9i y la herramienta de creacin y ejecucin de flujos
Dralasoft. Esta herramienta estar controlando el orden en el que se configurar cada
ruteador por medio de la interaccin con sus respectivos agentes. A continuacin se
muestra el diagrama que describe el sistema elaborado.
Figura 4.1 Diagrama de diseo de Arquitectura del SAVPN
49
Como se muestra en el diagrama, la comunicacin entre componentes es a base de un

socket, y de componentes a base de datos, mediante un controlador de base de datos de Java
JDBC por sus siglas en ingles.
A continuacin se describir a profundidad el funcionamiento de cada componente del
sistema.
4.1 Interfaz Grfica de Usuario:

Es un Componente desarrollado en la tecnologa Java para Web como son los Servlets y las
Java Server Pages (JSP). Su principal funcin es fungir como interfaz mediadora entre un
operador de red, y los ruteadores de la red para la configuracin de las VPNs.
Los principales procesos de la Interfaz Grafica (GUI por sus siglas en ingls) son:
Generacin de peticiones de aprovisionamiento de servicio de VPN.
Monitoreo de la ejecucin de las peticiones de servicio de aprovisionamiento de
VPN (ejecucin de workflows).
La GUI posibilita al usuario una fcil generacin y ejecucin de peticiones de
aprovisionamiento de servicio de VPN sobre los ruteadores en la red.
Una peticin de servicio es un registro en la base de datos del Sistema de Activacin de
VPN que contiene la siguiente informacin.
Id de peticin
XML con informacin del flujo a ejecutar en El motor de ejecucin de flujos de
Dralasoft
El estado de la peticin
50
El XML tiene la siguiente estructura:

<?xml version="1.0" encoding="UTF-8"?>
<ORDER>
<GENERAL_PARAMETERS>
<WF_NAME>NOMBRE_WORKFLOW</WF_NAME>
<DATE_HOUR>FECHA_EJECUCION_PROGRAMADA</DATE_HOUR>
</GENERAL_PARAMETERS>
<TECH_PARAMETERS>
<ATTRIBUTES>
<ATTRIBUTE>
<NAME>NOMBRE_ATRIBUTO1</NAME>
<VALUE>VALOR_ATRIBUTO1</VALUE>
</ATTRIBUTE>
<ATTRIBUTE>
<NAME>NOMBRE_ATRIBUTO2</NAME>
<VALUE>VALOR_ATRIBUTO2</VALUE>
</ATTRIBUTE>
</TECH_PARAMETERS>
</ORDER>
Figura 4.2 XML de peticin

En la figura anterior se observa que hay dos grupos principales de datos en el XML, el
primero son los "GENERAL PARAMETERS" o parmetros generales, donde podemos
encontrar el nombre del workflow que se va a ejecutar, y la fecha en que se mandar a
ejecutar en el motor de ejecucin de flujos de Dralasoft.
El segundo grupo llamado "TECH PARAMETERS" o parmetros tecnolgicos, contiene
todos los atributos de entrada necesarios para que el workflow realice su funcin. Aqu
podemos encontrar ips de equipos, nombres de servidores, anchos de banda, etc,
dependiendo del workflow del que se trate.
La generacin de peticiones se lleva a cabo grficamente comenzando con la seleccin del
workflow (flujo) que se desea ejecutar, luego se introducen los valores de los parmetros
que el workflow requiera; seleccionar el o los elementos de red involucrados en el
aprovisionamiento y seleccionar la fecha y hora de la ejecucin.
Los otros componentes que interactan en este proceso, adicionales a la GUI, son el
Demonio de Ejecuciones, el Demonio de Notificaciones y el motor de ejecucin de
51
workflows de Dralasoft, los cuales se explican detalladamente ms adelante a excepcin de

el motor de ejecuciones de Dralasoft el cual se tomar como una caja negra, y solo se
explicarn sus entradas y sus salidas.
Para poder acceder al repositorio de workflows es necesario hacer clic en el botn
Desarrollo de Workflows ubicado en la parte superior izquierda de la pantalla principal.
En este mdulo aparece un rbol jerrquico el cual contiene una opcin llamada
Rep.Workflows. Para visualizar los workflows existentes es necesario hacer click en el
smbolo (+) para desplegar el listado.
Figura 4.3 Despliegue del rbol de workflows

Una vez localizado el workflow que se desea ejecutar, se selecciona y aparecen del lado
derecho las acciones que se pueden ejecutar sobre el mismo.
52
Figura 4.4 Seleccin de Workflow para ejecutar sobre l alguna accin

4.1.1 Procesar Workflow
Para la ejecucin de un workflow, debe seleccionar la opcin de acciones Procesar
Workflow.
Figura 4.5 Seleccin de la accin Procesar Workflow

Una vez que se seleccion la opcin de Procesar Workflow, aparece la pgina en la que
se selecciona el equipo en el que se ejecutar y en caso de requerirse, los parmetros
necesarios para la ejecucin.
53
En aquellos campos marcados con la propiedad Nombre del equipo se debe introducir la
direccin IP o el nombre del equipo, o bien se puede seleccionar del rbol de bsqueda de
equipos al cual se accede seleccionando el enlace Buscar.
Figura 4.6 Seleccin de equipo y parmetros (cuando son requeridos) para la ejecucin
Y la ventana de bsqueda de equipos es:
Figura 4.7 Seleccin de equipo en el rbol de bsqueda
54
Una vez seleccionado el equipo e introducidos los parmetros (si son requeridos), se
selecciona Ejecutar para pasar a la pantalla de seleccin de fecha y hora de ejecucin.
Figura 4.8 Cuadro de seleccin de fecha y hora para la ejecucin

Si la seleccin de la fecha no es mayor o igual a la fecha actual del servidor, aparecer el
siguiente mensaje de error.
Figura 4.9 Mensaje de error cuando la fecha no es vlida

Si la fecha ha sido correcta aparecer el siguiente mensaje:
Figura 4.10 Mensaje de confirmacin de una correcta peticin

Monitoreo de la ejecucin de las peticiones de servicio de aprovisionamiento (ejecucin de
Workflows).
Una vez generada la peticin, sta pasa por una serie de estados dependiendo la etapa del
proceso en la que se encuentre, hasta que finalmente es completada. A continuacin se
muestra el diagrama de flujo de los estados:
55
Figura 4.11 Diagrama de flujo de los cambios de estados de las peticiones
56
El significado de cada uno de los estados se muestra en la siguiente tabla:

Recibida (R) - Blanco
La peticin ingres al sistema, pero todava no es evaluada.
Pendiente (P) - Blanco
La peticin se analiz y program para su ejecucin.
Cancelada (C) - Amarillo
La peticin fue cancelada expresamente por el usuario ANTES de la ejecucin.
Enviada (V) Azul claro
La peticin fue enviada al motor de ejecucin de Dralasoft. Esto no asegura que vaya a
ejecutarse.
Iniciada (I) Azul fuerte
Dralasoft contesto que se ha iniciado la ejecucin.
Abortada (A) Anaranjado
La peticin fue abortada expresamente por el usuario. Se ejecutar el rollback.
xito ( X) Verde
La peticin fue completada con xito.

Se produjo un error. Si la ejecucin de la peticin ya comenz, indica que el rollback se ejecut
con xito.
Error ( E) Rosa
Se produjo un error en la ejecucin de la peticin y se encuentra en proceso la ejecucin del

rollback.
Rollback (K) Morada
Se produjo un error en la ejecucin de la peticin y al ejecutar el rollback, ste tambin fall. El

equipo puede tener errores. Se puede reintentar el rollback para corregir esta situacin.
Critica (T) Roja
Figura 4.12 Tabla con el color, inicial y descripcin de cada estado.

Segn el estado en el que se encuentre la peticin, ser el color que tenga en el gestor de
ejecuciones de la interfaz.
Figura 4.13 Gestor de ejecuciones en la GUI

57
4.1.2 Generacin de mensajes de error

En el caso de las peticiones cuyo estado final sea Errnea (E) o Crtica (C), existe un
proceso que identifica que la respuesta del elemento de red efectivamente sea un error y
dependiendo de su origen, realiza una conversin de ste a un mensaje para el usuario,
mismo que puede ser consultado en la GUI, especficamente en la columna Msg del
Gestor de Ejecuciones. Este proceso utiliza como base un catlogo de errores clasificados
por sistema operativo de los elementos de red, de modo que, cada mensaje que el equipo
responda es validado en dicho catlogo para determinar si es o no un error, y en caso
afirmativo, para algunos realiza la conversin a un mensaje personalizado. En el Sistema de
Activacin de VPN existen 3 tipos de causas de errores, los cuales se distinguen unos de
otros a partir del evento que los origina:
Errores propios de los elementos de red. Respuestas de los elementos de red para indicar
que una instruccin o comando no se ejecut correctamente. Estas respuestas son
catalogadas para que cuando sean recibidas por el demonio de Notificaciones, se detecte
automticamente que es un error y se extraiga su mensaje personalizado para ser
desplegado en la GUI. Errores del motor de ejecucin de flujos de Dralasoft: Son
respuestas del motor de ejecucin de flujos de Dralasoft cuando por alguna causa de la
aplicacin, algn segmento del flujo de aprovisionamiento no pudo ser procesado por
alguna de las siguientes causas:
El demonio del equipo no se encuentra en estado operacional.
No se puede acceder al el elemento de red porque ste no se encuentra en estado
operacional o por problemas de conectividad de la red.
Algn problema de funcionamiento interno del motor de ejecuciones de flujos de Dralasoft.
Estos mensajes no son validados en el catlogo de errores ya que por default, Dralasoft
detecta que cualquiera de estas respuestas es un error, aunque no de los elementos de red,
pero s interno de la aplicacin.
58
Errores inducidos: No son errores naturales de los aprovisionamientos sino que a partir de
la respuesta del equipo, se genera un mensaje de salida (ms) y se provoca que la peticin
falle debido a que probablemente, para la lgica de un flujo de aprovisionamiento, ciertas
respuestas pueden no ser las esperadas aunque stas no sean propiamente errores del
equipo. Por su naturaleza, este tipo de errores inducidos no requieren validarse en el
catlogo puesto que fueron diseados justamente para abortar sin dicha validacin, sin
embargo, en algunas ocasiones se accede al catlogo para extraer un mensaje diferente a
partir del ms originado en el flujo.
Como se mencion al principio de este apartado, la forma de saber si una respuesta es un
error y a qu tipo de elemento de red corresponde, se utilizan las respuestas del sistema
operativo del equipo como llave para realizar la bsqueda.
4.2 Demonios del SAS

Para que el SAS pueda registrar la ejecucin de flujos, existen dos procesos independientes
actuando constantemente en dicha funcin.
4.2.1 Demonio de Ejecuciones
Es el encargado de procesar las peticiones pendientes en la base de datos del SAS para
posteriormente ejecutar el flujo correspondiente en Dralasoft.
Este demonio se encuentra de la siguiente manera en la arquitectura del SAS:
B.D.
S.A.S.
Actualizacin
Demonio
de
Ejecuciones
Ejecucin
Dralasoft
Figura 4.14 Entorno de trabajo del demonio de ejecuciones
59
Ms a detalle, este agente realiza lo siguiente:

Identifica una peticin pendiente, y le cambia el estado a recibida.
Realiza un respaldo de las configuraciones de los elementos de red que hayan sido
marcados con la opcin de respaldo de la peticin recibida.
Genera y manda ejecutar la peticin en Dralasoft y se marca como iniciada en la
base de datos del SAS.
Se recibe de dralasoft la confirmacin de la ejecucin del flujo y por tanto se marca
como peticin iniciada.
4.2.2 Demonio de Notificaciones
Es el encargado de notificar el estado en que se encuentran los flujos en ejecucin en
Dralasoft. Ms a detalle, este demonio realiza lo siguiente:
Actualizacin del estado de ejecucin de flujos en la peticin correspondiente en la
base de datos de Activacin con respecto al obtenido en Dralasoft, esto es, los
estados posteriores al estado de iniciada.
Almacenamiento en la B.D. de Activacin del resultado de la ejecucin en
Dralasoft.
El entorno de trabajo donde se desenvuelve se ilustra a continuacin.
Ejecucin
B.D.
S.A.S.
Actualizacin
Demonio
de
Notificaciones
Dralasoft
Respuesta
Figura 4.15 Entorno de trabajo del demonio de notificaciones
60
4.2.2.1 Configuracin de los demonios de Ejecuciones y Notificaciones

Tanto el demonio de ejecuciones como el de notificaciones ocupan un XML de
configuracin llamado constants.library. La siguiente tabla muestra los elementos que
conforman el XML.
Tabla 4.1 Informacin del archivo XML de configuracin de los demonios de ejecuciones y
notificaciones
Nombre
Tipo de dato
Descripcin
DriverType
String
Tipo de driver de conexin a

base de datos.
NetworkProtocol
String
Protocolo
de
red
para
la
conexin a la base de datos.

PortNumber
Numrico
Nmero de puerto donde la

base de datos escuchar.
MaxStatements
Numrico
Nmero mximo de sentencias
AutoCommit
Booleano (true, false)
Propiedad
de
commit
automtico de consultas a la
base de datos.
ImplicitCache
Indica si el nombramiento de
bloques de cach ser implcito
(propiedad de conexin).
ActivationHost
String
Servidor de Base de Datos del

SAS
ActivationDB
String
Nombre de la instancia de la
Base de Datos del SAS
ActivationUser
String
Usuario para Base de Datos del

SAS
ActivationPwd
String
Contrasea para usuario de

Base de Datos del SAS
61
4.2.3 Demonio del ruteador

Este es el demonio que estar en contacto directo con el ruteador a cargo con el objetivo de
obtener informacin del mismo as como ejecutar configuraciones sobre l.
Hay un demonio de ruteador por cada ruteador en la red, y cada demonio tiene un canal de
comunicacin con Dralasoft mediante un socket, en el cual los flujos envan la
configuracin a ser establecida en el ruteador y por este mismo medio se recibe la respuesta
de este.
Las funciones de este demonio son las siguientes:
Recibir las configuraciones desde Dralasoft y aplicarlas en el ruteador.
Enviar una respuesta al flujo de Dralasoft del resultado de la configuracin.
Ejecucin
Configuracin
Ruteador
Respuesta
Demonio
de
Ruteador
Dralasoft
Respuesta
Figura 4.16 Entorno de trabajo del demonio del ruteador
4.3 Dralasoft
Dralasoft es una aplicacin que sirve como editor y ejecutor de flujos de trabajo, mejor
conocidos como Workflows.
Un workflow es la representacin informtica de un proceso a seguir para llegar a un
resultado, y como todo proceso se divide en tareas, tiene una entrada y una salida.
62
Proceso
Entradas
Salidas
Figura 4.17 Representacin bsica de un flujo de trabajo o Workflow

Cada tarea dentro del workflow puede ser ejecutada o no dependiendo de las entradas que
se tengan, esto es, un workflow tiene elementos de control de flujo los cuales decidirn,
dependiendo de las condiciones, que camino tomar el flujo de trabajo.
Un workflow visto grficamente se asemeja a un diagrama de flujo.
Tarea3
Si
Tarea1
Tarea2
Desicin1
No
Tarea4
Figura 4.18 Flujo de trabajo o Workflow

Como se muestra en la figura anterior, los workflows estn formados de mdulos llamados
Tareas, las cuales por si solas realizan una sola accin del proceso.
Dralasoft cuenta con una serie de tareas ya desarrolladas y listas para usarse dentro de los
workflows, pero adems, da la posibilidad de desarrollar tareas personalizadas.
63
Los workflows son generados en el Editor de Workflows de Dralasoft y son ejecutados en

lo que se llama el Motor de Ejecucin de Workflows de Dralasoft.
El Editor de Workflows no se tocar a fondo ya que no es relevante con respecto al objetivo
de esta tesina.
4.3.1 Motor de Ejecucin de Workflows de Dralasoft
Este componente, es la plataforma en la cual se ejecutan los workflows dentro de Dralasoft,
y se debe entender como una caja negra la cual tiene la siguiente entrada y salida:
Entrada:
Es posible mandar datos a el por medio de un Socket.
Recibe el nombre del workflow a ejecutar.
Puede ejecutar varios workflows a la vez.
Salida:
La salida que producir depender de la configuracin de las tareas del workflow.
4.3.2 Tarea de Configuracin AtomicTask
Para poder obtener la salida necesaria de los workflows, que es en este caso la de crear una
VPN, es necesario contar con un tipo de tarea que se encargue de mandar la orden de
configuracin y la informacin para la misma a los Demonios de Ruteadores. Por tal
motivo se desarrollar una tarea personalizada llamada AtomicTask en la cual se
escribirn los comandos de configuracin de los ruteadores, los cuales sern enviados al
demonio de ruteador correspondiente al momento de ejecutarse esta tarea, por medio de un
Socket, y as mismo se recibir el resultado de dicha configuracin.
Con lo anterior se deja ver que las tareas de tipo AtomicTask son las encargadas de la
comunicacin de un workflow a los demonios de ruteadores.
64
A continuacin se describe la interfaz grfica de la tarea de tipo AtomicTask.
Comandos de Configuracin:
Rollback:
Aceptar
Cancelar
Figura 4.19 Diseo de interfaz grfica de la tarea AtomicTask

Donde:
Comandos de Configuracin: Es una ventana de texto cuyo fin es contener los comandos
que se enviarn al Demonio de Ruteador correspondiente para ser ejecutados en el ruteador.
Rollback: Es una ventana de texto cuyo fin es contener los comandos que desharn lo
hecho por los comandos de configuracin si es necesario.
Aceptar: Es el botn con el cual se lanzar la accin de validar y guardar los cambios de la
configuracin de la tarea.
Cancelar: Es el botn con el cual se lanzar la accin de cancelar los cambios realizados en
la configuracin de la tarea.
65
4.3.3 Procedimiento de desarrollo de una tarea personalizada

4.3.3.1 Preparacin de entorno de desarrollo Java
Para poder iniciar el desarrollo se debe elegir el entorno de desarrollo Java donde se
trabajar (Eclipse, JCreator, JBuilder, etc.), crear un proyecto e incluir en el path de ste el
siguiente JAR.
1) dwe.jar. Contiene las clases de Dralasoft (consultar DralaJavaDoc.zip para mayor
detalle)
Cualquier entorno de desarrollo Java que permita crear proyectos es til para la creacin de
nuevas tareas personalizadas.
4.3.3.2 Desarrollo y compilacin
Para realizar el desarrollo de una nueva tarea es necesario elaborar tres clases:
1. Una clase que herede de cualquiera de las clases SynchronousTask o
AsynchronousTask en la cual se implementar la funcionalidad de la tarea. (La
definicin detallada de ambas clases se puede encontrar en el tema "Workflow
Concepts" dentro del subtema "Object Model" en la Ayuda de SWE)
2. Una clase que herede de la clase TaskDialogPanel en la cual se implementar la
funcionalidad del panel de propiedades particular de la interfaz grfica de la tarea.
3. Una clase que herede de la clase DefaultPanelFactory la cual indica qu paneles
podrn ser accesibles al usuario en la interfaz grfica.
66
4.3.3.4 Descripcin detallada de la clase que hereda de SynchronousTask

Para la construccin de esta clase es necesario tomar en cuenta que toda tarea obedece al
diagrama de estados mostrado en la siguiente figura:
Figura 4.20 Estados de una tarea de workflow

En el diagrama de estados podemos observar con que acciones se ejecutan que mtodos de
la clase que define a la interfaz SynchronousTask.
67
A continuacin se describe cada uno de los mtodos de la interfaz SynchronousTask:

public void perform(): Este mtodo debera contener el "trabajo" que es realizado por la
tarea.
public void initialize(): Este mtodo es llamado solo una vez en el tiempo de vida de un
workflow. Es llamado en la creacin de la tarea, pero no en recargas subsecuentes. Uno de
los usos de este mtodo es la creacin de atributos que todas instancias del tipo de tarea en
cuestin van a necesitar.
public void load(): Este mtodo puede ser llamado en mltiples ocasiones durante el tiempo
de vida de un workflow. Es llamado en la creacin de la tarea as como en recargas
subsecuentes.
public void instantiate(): Mtodo llamado despus de la creacin de la tarea que es el
resultado de la llamada al mtodo " instantiateWorkflow() " en una plantilla de workflow.
public void copy(): Mtodo llamado despus de la creacin de una tarea como resultado de
la llamada al mtodo " copyWorkflow() " en una plantilla de workflow.
public void preActivate(): Mtodo ejecutado justo antes de que la tarea pase al estado
ACTIVE. Las subclases deberan sobrescribir este mtodo para ejecutar un trabajo justo
antes de la ejecucin de la tarea. La transicin al estado ACTIVE de la tarea se realizar
justo despus de haberse ejecutado este callback. Si este callback lanza una excepcin, la
tarea abortar y el callback " exception() " se ejecutar.
public void done(): Mtodo llamado inmediatamente despus de que la tarea pase al estado
DONE.
68
public void exception(): Mtodo que maneja excepciones cuando la tarea lanza una
excepcin de tiempo de ejecucin y es movida al estado ABORT.
public void passive(): Mtodo callback ejecutado cuando la tarea pasa a su estado
PASSIVE.
4.3.3.5 Preparacin del JAR
Al tener los archivos compilados de las tres clases, se crea un archivo JAR con nombre
indistinto, incluyendo adems de los compilados, un archivo XML llamado "extensionconfig.xml" en el directorio raz del JAR. Este archivo debe tener la siguiente estructura.
<extension-config>
<custom-task>
<class-name>NameTask</class-name>
<label>NameTask</label>
<icon>NameTask.png</icon>
<tooltip>NameTask</tooltip>
<menu-display>true</menu-display>
<toolbar-display>true</toolbar-display>
<task-panel-factory-class>NameTaskPanelFactory</task-panel-factory-class>
</custom-task>
</extension-config>
Figura 4.21 Archivo extension-config.xml
Donde:
class-name: Es el nombre de la clase que hereda de SynchronousTask o
AsynchronousTask
label: Es la etiqueta que aparecer en la barra de Tareas y en el men de Tareas en el
editor.
icon: Es el nombre del archivo de la imagen que se tomar como cono para la
Tarea.
tooltip: Es el texto que sale en el editor al quedar con el indicador del mouse por
unos segundos sobre el cono de la Tarea en la barra de Tarea.
69
menu-display: Con los valores booleanos "true" o "false" de esta etiqueta se indica
si se quiere que sea visible el cono de esta Tarea en el men.
toolbar-display: Con los valores booleanos "true" o "false" de esta etiqueta se indica
si se quiere que sea visible el cono de esta Tarea en la barra de Tareas.
task-panel-factory-class: Nombre de la clase que hereda de DefaultPanelFactory.
La estructura del archivo JAR, para el ejemplo, quedar de la siguiente manera:
customTask.jar
NameTask.class
NameTaskPanel.class
NameTaskPanelFactory.class
extension-config.xml
Figura 4.22 Estructura del JAR creado para incluir la nueva tarea en Dralasoft
Ya teniendo este archivo, se copia en la carpeta dralasoft-extensions de la instalacin de
Dralasoft y es necesario reiniciar esta aplicacin para que el cambio surta efecto.
4.4 Diseo de la base de datos

Como todo sistema, el Sistema de Activacin de VPN necesitar de un elemento
fundamental para almacenar datos como lo es su base de datos.
La siguiente informacin es la descripcin de cada una de las tablas que formar parte de la
base de datos en cuestin:
70
4.4.1 Tabla REQUEST:

En esta tabla quedarn registradas todas las peticiones de creacin de un servicio VPN. Esta
tabla se llenar con las peticiones generadas en la interfaz del sistema y ser modificado su
campo INR_ESTADO_EXEC por los demonios de Ejecucin y Notificacin, segn el
estado de la peticin.
Tabla 4.2 Descripcin de la tabla REQUEST de la base de datos del sistema
Columna
Tipo
Comentarios
ID_REQUEST_ID
pblico
Llave primaria de la tabla
(ordenado) :
Llave Primaria; No Nulo;
NUMBER(0)
ID_WF_ID
pblico :
Llave fornea a la tabla ACT_WORKFLOWS
NUMBER(0) No Nulo;
INT_ESTADO_EXEC
pblico :
Estado de ejecucin del proceso
NUMBER(2) No Nulo;
DAT_SCHED_DATE
pblico :
Fecha de programacin para la ejecucin del
DATE
proceso
No Nulo; Valor Inicial: s;
DAT_INIT_DATE
pblico :
Fecha de inicio de ejecucin
DATE
DAT_END_DATE
pblico :
Fecha de fin de ejecucin
DATE
Fecha de creacin
DAT_DATECREATED pblico :
DATE
USR_CREATEDBY
pblico :
Usuario autor de la creacin
VARCHAR2( No Nulo;
20)
4.4.2 Tabla WORKFLOW

Esta tabla llevar el registro de los workflows disponibles para ejecutar, como lo es el
workflow de creacin de VPN. Esta tabla se llenar directamente desde una aplicacin
cliente de administracin de la base de datos.
Tabla 4.3 Descripcin de la tabla Workflow de la base de datos del sistema
Columna
Tipo
Comentarios
ID_WORKFLOW_ID
pblico :
Llave primaria
NUMBER(0)
No Nulo;
CHR_NAME
pblico :
Nombre del workflow
VARCHAR2(200) No Nulo;
71
CHR_DESCRIPTION
DAT_DATECREATED
USR_CREATEDBY
CLOB_WF_XML
pblico :
VARCHAR2(255)
pblico :
DATE
pblico :
VARCHAR2(20)
pblico :
CLOB
Descripcin del workflow

Fecha de creacin
Usuario autor de la creacin
No Nulo;
XML del workflow como fue
almacenado en Sheer
No Nulo; Valor Inicial: e;
72
Conclusin
Con el paso del tiempo, la necesidad e interconexin entre organizaciones localizadas
geogrficamente distantes es mayor, teniendo las empresas que gastar grandes sumas de
dinero para rentar conexiones a proveedores con redes propietarias.
De igual forma, con el paso del tiempo, el crecimiento de Internet en cuanto a tamao ha
generado una red pblica satisfactoria para llevar a cabo la interconexin de las empresas
que no disponen de tanto capital, o que se interesan en el ahorro de costo en este aspecto.
Debido a esta necesidad surge el concepto de lo que conocemos como VPN o Red Privada
Virtual, la cual es una tecnologa que es capaz de generar una red privada segura, utilizando
una red pblica altamente insegura, utilizando el concepto de tnel mediante la encripcin
de datos.
Dentro de los tipos de VPN se encuentra una basada en ruteadores, la cual permite
establecer una VPN mediante el software de los mismos ruteadores, pudiendo realizar esta
configuracin desde un lugar diferente a donde se encuentra fsicamente el ruteador.
Esto puede ser aprovechado por un sistema de software el cual se especialice en crear este
tipo de servicios automticamente, ayudando a realizar esta tarea rpida y confiablemente a
una empresa que requiera estar creando y eliminando VPN.
Para la construccin de un sistema, es necesario pasar por sus diversas etapas de
construccin, esta tesina describe el producto de la etapa del diseo de un sistema de
activacin de VPN para equipos de marca CISCO 7206 VXR, el cual es capaz de
administrar y crear el servicio de VPN en una red donde se utilicen ruteadores de esta
marca.
73
El diseo describe un sistema que contiene una interfaz grfica amigable para el usuario
que le permite programar la creacin de servicios de VPN dentro de una red con equipos
CISCO 7206 VXR, esto con la ayuda de una aplicacin llamada Dralasoft que ocupa la
representacin informtica de un proceso, el Workflow. La interfaz grfica puede
comunicarse con esta aplicacin mediante un par de programas llamados demonios, uno de
ellos se encarga de ejecutar las peticiones de estos servicios al momento adecuado, mientras
que el otro se encarga de actualizar el estado de las peticiones en Dralasoft, pudiendo ser
vista esta ltima informacin desde la interfaz grfica.
Finalmente se tiene un demonio por cada ruteador a controlar en la red, para establecer la
comunicacin entre Dralasoft y cada uno de estos elementos y as poder realizar su
configuracin.
Mediante el diseo de este sistema informtico, podr generarse una aplicacin que de
manera amigable ayude a un administrador de red en la creacin y destruccin de los
servicios de VPN dentro de la red que gobierna, ahorrndole tiempo en configuracin de
equipos al eliminar el error humano, y permitindole planificar el momento en el que se
generen estos servicios, adems le generar una bitcora detallada en base de datos con
cada una de las altas y bajas de estos servicios que ha sufrido el sistema.
74
Bibliografa:
Libros
Implementacin de redes privadas virtuales (VPN), Seven Brown, Ed. McGraw-Hill
Interamericana, ISBN: 970-10-3025-7
Anlisis y diseo de sistemas de informacin, 2 Edicin, James A. Senn, Ed.
McGraw-Hill Interamericana, ISBN: 968-422-991-7
Pginas de Internet
http://www.cisco.com/warp/public/779/edu/cisco20/cisco20.html 01/04/2008
http://www.cisco.com/en/US/products/hw/routers/ps341/prod_models_comparison.
html 01/04/2008
http://products.nortel.com/go/product_content.jsp?segId=0&parId=0&prod_id=391
42 01/04/2008
http://www.juniper.net/1|products/jseries/dsheet/100206.pdf 01/04/2008
http://www.ordenadores-y-portatiles.com/red-privada-vpn.html 7/4/2008
http://beta.redes-linux.com/manuales/vpn/Estudio_VPN.pdf 7/4/2008
http://es.wikipedia.org/wiki/Ruteador
27/5/2008
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/VPN.html#wp11
131
27/5/2008
http://www.inaoep.mx/~moises/AGC/sw-rout.html#tecru
28/5/2008
75
Glosario
3DES
ADSL
AH
AS
ATM
BGP
CCDA
CCDP
CCIE
CCIP
CCNA
CCNP
CCSP
CEF
CISCO
CSI
DES
DSS
EGP
EIGRP
ESP
FEC
Fire Wall
FTP
3 Desarrollos de encriptacin estndar (3 Development Encryption

Standard).
Lnea de Abonado Digital Asimtrica.
Encabezado de autentificacin.
Sistema autnomo.
Transmisin de tramas.
Protocolo de gateway fronterizo (Border Gateway Protocol).
Certificacin Cisco de diseador asociado (Cisco Certified Design
Associate).
Certificacin Cisco de diseador profesional (Cisco Certified Design
Professional).
Certificacin Cisco de experto en Intranets (Cisco Certified
Internetwork Expert).
Certificacin Cisco de profesional en Intranets (Cisco Certified
Internetwork Professional).
Certificacin Cisco de redes como asociado (Cisco Certified Network
Associate).
Certificacin Cisco de profesional en redes (Cisco Certified Network
Professional).
Certificacin Cisco de profesional en seguridad (Cisco Certified
Security Professional).
Reenvo express de Cisco (Cisco Express Forwarding).
ltimas letras del nombre de la ciudad americana San Francisco, es
el nombre de la compaa lder mundial en elementos de enlace de
redes de computadoras.
Instituto de Seguridad de Cmputo.
Estandar de encriptacin de datos (Data Encryption Standard).
Sistemas para el Soporte de Decisiones.
Protocolo de Gateway Externo (External Gateway Protocol).
Protocolo de mejora de enrutamiento de gateway interior (Enhanced
Interior Gateway Routing Protocol).
Carga de seguridad encapsulada.
Clase equivalente de reenvo (Forwarding Equivalence Class).
Una caja negra o un servidor de autenticacin independiente,
concediendo el acceso a la red.
Protocolo de transferencia de Archivos (File Transfer Protocol).
76
GRE
GUI
IETF
IGP
IGRP
IP
IPSec
IPX
ISDN
JSP
L2F
L2TP
LAN
LDP
LER
LSP
LSR
MAC Address
MIS
MPLS
MPLS
NASDAQ
NetBEUI
OSI
OSPF
POTN
PPP
PPTP
PSI
RDSI
RIB
RIP
SDLC
TCP/IP
TPS
VPN
VRF
VSA
WAN
XDLS
Encapsulacin genrica de ruteo. (Generic Routing Encapsulation).

Interfaz Grfica de Usuario.
Grupo de trabajo de Ingeniera de Internet.
Protocolo interno de distribucin.
Protocolo de enrutamiento de gateway interior (Interior Gateway
Routing Protocol).
Protocolo de Internet.
Protocolo de seguridad IP.
Intercambio de paquetes de Internet.
Redes digitales de servicios integrados.
Pginas de servidor de Java (Java Server Pages).
Envo de capa 2.
Protocolo de tnel de capa 2.
Red de rea local (Local Area Network).
Etiqueta de protocolo de distribucin (Label Distribution Protocol).
Etiqueta de ruteador de borde (Label Edge Router).
Etiqueta de camino cambiante (Label Switched Path).
Etiqueta de ruteador cambiante (Label Switching Router).
Identificador de 48 bits que se corresponde de forma nica con una
interfaz de red.
Sistemas de informacin administrativa.
Multiprotocolo de etiquetado cambiante (Multiprotocol Label
Switching).
Conmutacin de etiquetas multiprotocolo.
Mercado accionario de tecnologa.
La Interfaz Grfica de Sistema Bsico de Entrada / Salida de Red.
Sistema abierto de interconexin (Open System Interconnection).
Camino abierto ms cercano primero (Open Shortest Path First ).
Servicios de red telefona simple.
Protocolo de punto punto.
Protocolo de tnel punto punto.
Proveedores de servicios de Internet.
Red Digital de Servicios Integrados.
Base de informacin de Ruteo.
Protocolo de informacin de ruteo (Routing Information Protocol).
Ciclo de vida para desarrollo de sistemas.
Protocolo de control de transferencia/Protocolo de internet (Protocol
Transfer Controler / Intenet Protocol).
Sistemas de procesamiento de transacciones.
Red Privada Virtual.
VPN ruteo / direccionamiento (VPN Routing / forwarding).
Atributo especifico de vendedor (Vendor Specific Attribute).
Red de rea amplia.
Lneas de suscripcin digital.
77

Ice 156

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ice 156

Загружено:

Авторское право:

Доступные форматы

INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

SISTEMA DE ACTIVACIN DE VPN CON

INSTITUTO POLITCNICO NACIONAL

SISTEMA DE ACTIVACIN DE VPN CON CISCO 7206 VXR

M. en C. Diana Salom Vzquez Estrada

Ing. Patricia Corts Pineda.

M. en C. Hctor Becerril Mendoza

3.2.2 Arquitectura MPLS

1- Millones de paquetes por segundo.

La ms conveniente para manejar varias conexiones VPN es la 7206VXR debido a su

Software de gestin de red como CiscoWorks.

Cisco Systems tambin posee una divisin de publicaciones tecnolgicas denominada

Tales programas son dictados en alianza con Instituciones Universitarias denominadas

Captulo I. Fundamentos de las Redes Privadas Virtuales

Routing Encapsulation GRE), lo que da al protocolo PPTP la flexibilidad de manejo de

1.1 Seguridad para la VPN

Solo a las partes autorizadas se les permite el acceso a aplicaciones y servidores

Los datos deben estar intocables al 100 por ciento.

Los usuarios deben tener distintos niveles de acceso.

Los aspectos de interoperabilidad deben tomarse en consideracin.

Se debe tener facilidad de administracin.

Es importante tener las ramificaciones legales.

1.2 Ventajas y Desventajas de una Red Privada Virtual (VPN)

mantenan conexiones exclusivas para grupos y compaas. El uso de la Red Digital de

1.3 Arquitectura de la Red Privada Virtual (VPN)

1.3.2 Redes Privadas Virtuales basadas en caja negra

1.4 Topologas de VPN

VPN. La topologa nos indica el lugar que le corresponde a cada dispositivo y

1. El administrador de cada sitio est de acuerdo con el cifrado DES. El software de

abandona el escritorio en texto sencillo y llega al dispositivo de

mquina se encargue de ambos y por lo tanto se reduce la redundancia. La segunda

1.4.5 Topologa de VPN de hardware (caja negra)

a los usuarios si la red interna esta

1.4.6 Topologa de VPN/NAT

1.5 Trfico de entrada y salida de la VPN

2. Despus el dispositivo NAT reenva el paquete al dispositivo VPN que realiza el

1.6 Trfico de entrada de la VPN

y revisa los privilegios de

1.7 Topologa de conmutacin de VPN

Captulo II. Fundamentos de los Sistemas de Informacin

2.2 Categoras de los sistemas de informacin

almacenados como consecuencia del procesamiento de transacciones, pero tambin

2.3 Estrategias para el desarrollo de sistemas

preliminar, de informacin predecibles.

de Manejable como proyecto.

requerimientos, diseo del Requiere que los datos se

software, prueba del sistema bases de datos.

anlisis Se enfoca en lo que el Adecuado para todo tipo de

forma en que llevan a cabo complemento

su funcin (se abordan los mtodos de desarrollo.

procesamiento de datos. Los

incluyen los diagramas de

continua evolucin donde el aplicacin

tienen poca experiencia o

costos y riesgos de cometer

ms lento en cuanto al desarrollo del sistema que los dems, es el ms administrable

2.4 Ciclo de vida clsico del desarrollo del sistema

Figura 2.1 Ciclo de vida de desarrollo de sistemas

Factibilidad tcnica: El trabajo para el proyecto puede realizarse, con el equipo

Factibilidad operacional: Si se desarrolla, el sistema ser utilizado, y habr poca

3. Aprobacin de la solicitud. Despus de aprobar la solicitud, la administracin le

2.4.5 Prueba del sistema