1

Arquitectura de Interconexin de Terceros a la Red LAN del

SAC en locales del SAT
Marco Tecnolgico de Referencia
rea de Servicio:
Categora de
Servicio:
Subcategora de
Servicio:
Dominio
Tecnolgico:
Arquitectura de
Referencia:
ID:
Archivo:
Autor:
Fecha de
Creacin:
Fecha
Notificacin:
Fecha de
Aplicacin:
Fin de vigencia:
Grupos
Afectados:

Servicios de Plataforma e Infraestructura

Hardware / Infraestructura
Infraestructura
Dominio de Computo Central
Arquitectura de Interconexin de Terceros a la Red LAN del SAC en locales del
SAT
A00014
TRM_SPI_Arquitectura de Interconexin de Proveedores Externos a la Red LAN
del SAT en las Locales
Daniel Zamora Villalobos
30/07/2012
14/09/2012
17/09/2012
S/F
Arquitectura Fsica y Seguridad, Desarrollo de Negocios, Lderes de Proyectos
relacionado con Proveedor Externos que requieren conectividad en locales,
Gobiernos de contrato en relacin, reas de Seguridad.

Historia de Revisiones
Versin

Fecha

Motivo

Autor
1

2
0.1

30/07/2012

0.2

02/07/2012

0.3

07/08/2012

1.0

07/09/2012

Creacin del Documento

Comentarios de la Administracin de Arquitectura de
Seguridad de la Administracin Central de Seguridad
Monitoreo y Control (ACSMC).
Comentarios de la Administracin de Comunicaciones de la
Administracin Central de Operacin y Servicios
Tecnolgicos
Revisin y aprobacin del documento

Daniel
Zamora
Villalobos
Daniel
Zamora
Villalobos
Daniel
Zamora
Villalobos
Erick
Rubn
Galvez
Ramirez

Contenido

Contenido
1 Arquitectura de Interconexin de Terceros a la Red LAN del SAC en locales del
SAT
1.1 Historia de Revisiones
1.2 Contenido
1.3 Resumen
1.4 Arquitectura
1.5 Referencias
1.6 Glosario
1.7 Contacto

Resumen
Este documento define la arquitectura y lista los lineamientos necesarios que se deben de
considerar e incorporar, con la finalidad de interconectar a los proveedores externos (terceros) a la
red del SAT en las Administraciones Locales para que brinden los servicios al SAT.
Se debe considerar que los servicios que brinden los proveedores externos debern tener carcter
privado, es decir, el total de los componentes habilitadores a usar por los proveedores externos
para proporcionar los servicios al SAT son exclusivos al SAT, incluyendo los enlaces de
interconexin.
Nota Aclaratoria. Es importante comentar que los grficos e ilustraciones incorporadas en este
documento son de carcter exclusivo, por lo que no debern de copiarse y/o agregarse a
documentos que tienen relacin licitatoria (Trminos de Referencia, Pre-bases, Bases, por
mencionar algunos de ellos).

Objetivo

3
Derivado a la necesidad de Interconectar a un proveedor externo, llamado tambin a lo largo del
documento como ?Tercero?, a la red local (LAN) del Contrato SAC directamente en las
administraciones locales, se realiza un anlisis para establecer que tecnologas, componentes,
protocolos, lineamientos, reglas, por mencionar algunos, es necesario usar.

La arquitectura est basada en el supuesto que cada Administracin Local ya cuenta con
componentes como Firewalls, Switches, Enrutadores y enlaces WAN o LAN del contrato SAC de la
red VPN-MPLS, que son usados para que las locales o inmuebles se interconecten entr s, e
intercambien trfico de negocio que el SAT requiere para su accionar.

El propsito del presente documento es analizar y desarrollar un marco tecnolgico enfocado a las
soluciones que respondan a la necesidad de Interconectar Terceros a la red LAN del SAC en
inmuebles.

Fuera del Alcance

Quedan fuera del alcance de este documento, los siguientes puntos:

? Consideraciones por SLA del Servicio.

? Necesidades adicionales del servicio que no forman parte de la Interconexin entre Terceros y el
SAT.

? Dimensionamiento en funcin de nmero de conexiones o sesiones, trfico, sesiones de

protocolos, interfaces, puertos, distancias, cantidad de instancias y contextos, cantidad de vlan,
vpn-vrf, extranet, cantidad de usuarios y proveedores, desempeos de las infraestructuras o
componentes en relacin.

? Topologas e Ingenieras.
? Diseo de alto y bajo nivel del servicio.

? Configuraciones

Antecedentes / Situacin Actual

Actualmente el SAT no cuenta con una arquitectura de interconexin de terceros a la red LAN del
SAT en las administraciones locales. Se tiene un antecedente de un proyecto que s fue conectado,
sin embargo hasta el momento no se han pronunciado bajo que marco tecnolgico esta
3

4
interconexin fue realizada.
Actualmente el SAT conecta a entidades externas o terceros a travs de los mdulos existentes en
los Centros de Datos, con ello se centralizan las conexiones y se obtiene un control de lo que se
conecta y transfiere tanto al interior como al exterior del SAT.
Por lo anterior, si un tercero requiere conectividad a un inmueble deber de hacerlo a travs de
estos mdulos que estn hospedados en los Centros de Datos, por lo que el requerimiento de
conectar un tercero a las locales de manera directa formar parte de este Marco Tecnolgico de
Referencia.

Consideraciones Generales de la Interconexin

? Proveer una solucin de conectividad escalable, segura y con buen desempeo en el servicio,
entre la red LAN del Proveedor Externo (Terceros) con la red LAN del SAT.

? La conectividad desde la red LAN del Proveedor Externo hacia la red LAN del SAT deber ser
provista por el Proveedor Externo a travs de puertos LAN y enlaces redundantes hacia los
componentes que conforman la red LAN del SAT.

? Es importante mencionar que al hablar ?tratamiento de trfico? a lo largo del documento, se

estar haciendo mencin o referencia al trfico al que se le aplican restricciones e
inspecciones-mitigaciones de seguridad, ruteo, switcheo, optimizacin, por mencionar algunos, que
debern de estar basadas en las mejores prcticas y estndares del mercado mundial.

? Al trfico desde y hacia el SAT proveniente de la red LAN del Proveedor Externo y viceversa, se
le debern de aplicar polticas de seguridad, esto a travs de la frontera de seguridad administrada
por los contratos vigentes del SAT y adicionalmente la frontera de seguridad de los Proveedores
Externos.

? Es importante definir acuerdos operativos (OLA, por sus siglas mencionadas en el Marco de
Referencia ITIL) entre los Proveedores Externos y los Proveedores que conforman los contratos de
la Red de comunicaciones de VPN y de los Centros de Datos del SAT, por mencionar algunos, con
la finalidad de poder gestionar los cambios necesarios para el tratamiento del trfico y la entrega
del servicio al SAT.

Consideraciones Tcnicas de la Interconexin

? Cada uno de los enlaces de interconexin entre la red LAN del Proveedor Externo y la red LAN
del SAT, debern ser entregados por el Proveedor Externo a travs de interfaces fsicas con un
mnimo de 1-Gbps para cada enlace, o incluso puede ser superior si el servicio as lo demanda.
Para este ltimo punto es importante ver las disponibilidades de los componentes habilitadores de
4

5
la red LAN del SAT. Tambin se entiende que por cuestiones tcnicas del SAT pudiera llegar a
haber excepciones justificadas que esta mencin no se d, para lo cual esto ltimo debern de
trabajarse como caso especial. El dimensionamiento e implementacin de los crecimientos de los
enlaces de interconexin sern responsabilidad del Proveedor Externo durante la vigencia del
contrato.

? Se requiere que al trfico desde y hacia el SAT proveniente de la red LAN del Proveedor Externo,
se le apliquen polticas de seguridad, esto a travs de la frontera de seguridad, en la que se
contemplen equipamiento de firewalls e IPS?s, esto ayudar a tener un control de acceso de las
aplicaciones que solo son permitidas (filtraje dentro-fuera) y a su vez se generar un monitoreo en
tiempo real para detectar y mitigar trfico malicioso que provenga de la red LAN del Proveedor
Externo hacia puntos internos del SAT. Por lo anterior, los Proveedores Externos debern tener su
propia frontera de seguridad para protegerse tanto de sus accesos externos como de lo que reciba
del SAT u otros Terceros, y la frontera de Seguridad del SAT deber protegerse de lo que recibida
de los proveedores Externos. Para el IPS es necesario que se definan las reglas de inspeccin con
la finalidad de que los proveedores que operan y mantienen estos componentes puedan cumplir
estos requerimientos seguridad que ocupa el servicio que se est brindando.

? Para la optimizacin es necesario que se definan las reglas que se van a requerir para optimizar
de la mejor manera el trfico del servicio a brindar, esto incluye el trfico de control.

? Debido a que pudiera haber trfico generado desde la Red LAN del Proveedor Externo con
destino a otros inmuebles del SAT, donde ocupase la red de VPN-MPLS del SAT, estos servicios
deben como recomendacin trabajar bajo un esquema de servicios de WAN y no de LAN, ya que
los mecanismos de conexin son diferentes, por lo que el Proveedor Externo deber considerar
que los servicios transferidos desde y hacia el SAT por estos enlaces trabajen de la mejor manera
en trminos de seguridad y desempeo, cumpliendo con los niveles de servicio solicitados. La
solucin deber ser escalable entre la red LAN del Proveedor Externo y la red LAN del SAT.
Algunas de las variables que deber el Proveedor Externo considerar de manera mnima, son las
siguientes:

- Nmero de conexiones que usan los servicios.

- Nmero de conexiones que usan los aplicativos.
- Retraso de paquetes en la transmisin extremo a extremo debido a la distancia, interfaz y/o
medio.
- Variacin del retraso del paquete debido a distancia y/o medio.
- Perdida de paquetes

Arquitectura
A continuacin se define la arquitectura de referencia.

Figura 1. Arquitectura de Referencia para Interconexin de Terceros a la red LAN del SAT en las
locales.
En la figura 1 se muestra una arquitectura de referencia donde se puede apreciar los mdulos y
fronteras que el SAT deber usar para la interconexin de la red LAN del Proveedor Externo con la
Red LAN del SAT.
As mismo la Red LAN del SAT est construida por componentes que se enlistan de manera
mnima a continuacin.

- Firewalls
- IPS
- Enrutadores

7
- Switches
- Gestin
- Optimizadores de Trfico.

De acuerdo a la arquitectura mencionada en la figura 1, se han identificado hasta el momento 4

tipos de escenarios que se podrn estar manejando.
Por lo Anterior, los escenarios y flujos son los que a continuacin se describen, no sin antes definir
las consideraciones generales que aplican para todos los escenarios.

Consideraciones generales para todos los escenarios en cuanto a la descripcin de los flujos

? La seguridad de los Proveedores Externos es responsabilidad solamente de los mismos

Proveedores Externos, por lo que debern contar con los componentes habilitadores necesarios en
su frontera de seguridad para blindar su red y servicios en su totalidad.

? La seguridad de la red LAN y WAN del SAT es responsabilidad de los servicios contratados con
los proveedores en relacin, como son los contratos del SAC, SPAC-C, SASI, por mencionar
algunos de ellos.

? No se limita la cantidad de tratamientos de trfico que se realicen en una conectividad y

transferencia de informacin end-to-end, es decir, la cantidad de tratamientos de trfico es
directamente proporcional a la seguridad y calidad en las comunicaciones que se quiera mantener
para el servicio de manera integral.
Sin embargo debern de preservarse y ejecutarse por lo menos los tratamientos de trfico
mencionados en cada uno de los escenarios que ms adelante se mencionan.

? Todos los tratamientos de trfico que se realicen, entre otros, debern de acordarse en las mesas
de planeacin y/o ingeniera, y siempre debern de alinearse y apegarse a las normas, marcos,
lineamientos, reglas, por mencionar algunos, definidos por el rea de Seguridad del SAT, quien
finalmente dar su visto bueno.

Escenario 1. Flujos de Servicios desde la red LAN del Proveedor Externo conectado en una
Local, hacia los Inmuebles y/o Centros de Datos del SAT y viceversa usando la red de
comunicaciones de VPN-MPLS del SAT consolidado en contrato del SAC.
7

Figura 2. Flujo del Servicio desde la red LAN del Proveedor Externo hacia los inmuebles del SAT y
Viceversa, usando la red de comunicaciones de VPN-MPLS del SAT.

? El trfico desde la red LAN del Proveedor Externo viajar al mdulo de Interconexin del SAT en
la misma local, para posteriormente viajar a travs de la red de VPN-MPLS del SAT para llegar al
inmueble destino del SAT, donde pudiera finalizar ya sea en la misma red LAN del SAT o en la red
LAN del Proveedor Externo. Los tratamientos de trfico para estos tipos de flujos son los
siguientes:

- Tratamiento de Trfico en la red LAN del Proveedor Externo en la Local Origen.

- Tratamiento de trfico en la red LAN del SAT en la Local Origen.
- Tratamiento de trfico en la red LAN del SAT en la Local Destino.
8

9
- Tratamiento de trfico en la red LAN del Proveedor Externo en la local Destino.

? De la misma manera aplican los mismos tratamientos de trfico si el trfico viajar en sentido
contrario a lo mencionado en el punto anterior.

? Si el trfico va hacia y desde el Centro de Datos se debern de aplicar los tratamientos de trfico
que trabajan en cada uno de los mdulos de la Arquitectura de Referencia del Centro de Datos del
SAT por donde pasar el trfico, por lo que es requerido que los Gobiernos de Contrato en relacin
formen parte de las mesas de Planeacin y/o Ingeniera.
Es importante considerar que el Centro de Datos del SAT tiene un mdulo de nombre VPN el cual
forma parte de la red de VPN-MPLS.

Escenario 2. Flujos de Servicios desde un Proveedor Externo (tercero) a otro Proveedor

Externo (Tercero) en la misma localidad del SAT.

10

Figura 3. Flujo del Servicio desde un Proveedor Externo a otro Proveedor Externo en la misma
localidad del SAT.

? El trfico desde la red LAN de un Proveedor Externo hacia la red LAN del otro Proveedor Externo
viajar a travs de la redes LAN de ambos proveedores incluyendo la red LAN del SAT, los
tratamientos de trfico en la Local Origen para estos tipos de flujos son los siguientes:

- Tratamiento de Trfico en la red LAN del Proveedor Externo Origen.

- Tratamiento de trfico en la red LAN del SAT.

- Tratamiento de trfico en la red LAN del Proveedor Externo Destino.

10

11
? De la misma manera aplican los mismos tratamientos de trfico si el trfico viajar en sentido
contrario a lo mencionado en el punto anterior.

Escenario 3. Flujos de Servicios desde un Proveedor Externo (tercero) en una local a otro
Proveedor Externo (Tercero) en diferente localidad del SAT.

Figura 4. Flujo del Servicio desde un Proveedor Externo en una local a otro Proveedor Externo en
diferente localidad del SAT.

? El trfico desde la red LAN del Proveedor Externo Origen viajar al mdulo de Interconexin del
SAT en la misma local, para posteriormente viajar a travs de la red de VPN-MPLS del SAT para
llegar al inmueble destino del SAT, donde finalizar en la red LAN del Proveedor Externo Destino.
Los tratamientos de trfico para estos tipos de flujos son los siguientes:

- Tratamiento de Trfico en la red LAN del Proveedor Externo Origen en la Local Origen.

11

12
- Tratamiento de trfico en la red LAN del SAT en la Local Origen.

- Tratamiento de trfico en la red LAN del SAT en la Local Destino.

- Tratamiento de trfico en la red LAN del Proveedor Externo Destino en la local Destino.

? De la misma manera aplican los mismos tratamientos de trfico si el trfico viajar en sentido
contrario a lo mencionado en el punto anterior.

Escenario 4. Flujos de Servicios desde la red LAN del Proveedor Externo conectado en una
Local, hacia sus Centros de Datos que estn conectados al mdulo de Terceros de los
Centros de Datos del SAT.

12

13
Figura 5. Flujo del Servicio desde la red LAN del Proveedor Externo hacia sus Centros de Datos
que estn conectados a los mdulos de Terceros de los Centros de Datos del SAT.

? El trfico desde la red LAN de un Proveedor Externo hacia los Centros de Datos del Proveedor
Externo conectados en los mdulos de terceros de los Centros de Datos del SAT, viajar a travs
de la red de VPN-MPLS, los tratamientos de trfico para estos tipos de flujos son los siguientes:

- Tratamiento de Trfico en la red LAN del Proveedor Externo en la Local Origen.

- Tratamiento de trfico en la red LAN del SAT en la Local Origen.

- Tratamiento de trfico en los Centros de Datos del SAT. Aqu los tratamientos de trfico son en
cada uno de los mdulos de la Arquitectura de Referencia del Centro de Datos del SAT por donde
pasar el trfico, por lo que es requerido que los Gobiernos de Contrato en relacin formen parte
de las mesas de Planeacin y/o Ingeniera. Es importante considerar que el Centro de Datos del
SAT tiene un mdulo de nombre VPN el cual forma parte de la red de VPN-MPLS.

- Tratamiento de trfico en la red LAN de los Centros de Datos de los Proveedores Externos.

? De la misma manera aplican los mismos tratamientos de trfico si el trfico viajar en sentido
contrario a lo mencionado en el punto anterior.

Requerimientos Generales de la Interconexin

? El proveedor deber llegar a los componentes de la red LAN del SAT tanto por enlaces elctricos
(UTP) o por fibra ptica, esto dependiendo de las distancias y la disponibilidad del tipo de puerto en
la infraestructura de la red LAN del SAT, por lo que cualquier componente habilitador necesario
para el servicio, mencinase de manera enunciativa mas no limitativa, equipos de puntos de
demarcacin de capa 2 y de capa 3, equipos de interconexin para interoperabilidad entre
dispositivos de diferentes fabricantes (tanto para interconexin fsica como para servicios),
Firewalls, Gbics, SFP, equipamiento para acceso inalmbricos y sus contraloras, IPSs, Ruteo,
equipos de transcoding, Calidad de Servicios, configuraciones, componentes requeridos para
conectar cableados UTP o fibra ptica desde sus equipos hasta los equipos del SAT sin importar
distancias, que el Proveedor Externo requiera instalar en las locales para poder ofrecer el total de
los servicios al SAT, deber el proveedor de contemplarlo, dimensionarlo, implementarlo y operarlo,
como parte de su red LAN.

13

14

? El Proveedor Externo se obliga en todo momento durante la vigencia del contrato a estar
administrando la capacidad y desempeo (Capacity Management,), de cada uno de los enlaces y
componentes habilitadores provistos por l mismo al SAT para brindar sus servicios y se
responsabilizar por tener siempre instalaciones disponibles para evitar saturaciones o bajos
desempeos en la red para hardware, software, licenciamiento, nmero de troncales, enlaces,
entre otros. Los crecimientos que el proveedor externo requiera efectuar en este sentido no
debern representar costos econmicos adicionales al SAT.

? Es importante mencionar que en caso de que las redes del contrato de VPN-MPLS y Centros de
Datos del SAT no estn operando con multicast, los Proveedores Externos debern plantear una
solucin para evitar usar protocolo de Multicast o, en su defecto, debern implementar mecanismos
que puedan ayudar al manejo de Multicast dentro de la red del SAT de acuerdo a su solucin y sin
que el SAT se vea obligado a adquirir componentes habilitadores lgicos y/o fsicos,
configuraciones, cambios arquitectnicos, cambios que generan una erogacin econmica, prdida
o degradaciones de este y otros servicios de otros contratos, por mencionar algunos.

? Los equipos de comunicacin llamados punto de demarcacin que proveer el Proveedor

Externo como punto de Interconexin hacia la Red del SAT, debern de soportar protocolos para
interconexin y servicios de Capa 2, as como tambin Protocolos de Ruteo y servicios de Capa 3,
adicionales a los protocolos y caractersticas que el Proveedor Externo considera necesarias que el
equipo deber de soportar para brindar los servicios al SAT.

? El proveedor deber proveer los mecanismos necesarios para no tener problemas de Unidad
Mxima de Transmisin (MTU, por sus siglas en ingls) para los servicios que se brindan a travs
de los enlaces de interconexin al SAT.

? El proveedor Externo deber entre otras, administrar y operar su propia infraestructura.

? Es requerido que el Proveedor Externo instale sus componentes habilitadores en una zona
protegida por sus elementos de seguridad como Firewalls, IPS, por mencionar algunos, que el
mismo proveedor deber de implementar y operar.

? Si por necesidades del Proveedor de Terceros se requiere realizar movimientos de IDF, MDF,
adecuaciones civiles, movimiento de cableado, por mencionar algunos, en las locales del SAT y
con el permiso previo del SAT, ser el Proveedor de Terceros quien cubra la logstica,
14

15
implementacin y los gastos econmicos totales para dejar operando lo que requiera para brindar
los servicios al SAT, as como los servicios que estaban operando de terceros y del mismo SAT
antes de los movimientos.

Requerimientos Tcnicos de la Interconexin

? Cada uno de los Proveedores Externos deber de tener su propia Red LAN en las
administraciones locales, conectndose solamente a la red del LAN del SAT a travs de enlaces de
Interconexin conectados a los Switches-Routers del contrato SAC.

? Los componentes habilitadores para el tratamiento de trfico, incluyendo los enlaces de

Interconexin que deber el Proveedor Externo proveer, dimensionar y operar, debern ser
redundantes. La redundancia debe ser directamente proporcional al SLA solicitado por el SAT para
el servicio en relacin y de manera integral.

? Es recomendable que los componentes habilitadores de seguridad (firewalls, IPS, por mencionar
algunos) se configuren de tal manera que tengan la flexibilidad de no limitar el uso de los mismos
para brindar servicios al SAT y las nuevas funcionalidades que se vayan habilitando durante la
vigencia del contrato.

? Cada Proveedor Externo deber de pertenecer a una VLAN independiente en la red LAN de la
localidad donde se instale. Esta VLAN deber de configurarse en los componentes habilitadores
del SAC.

? Se deber de configurar como mnimo una instancia en los equipos de seguridad del Contrato del
SAT para cada uno de los proveedores Externos, sin embargo, no est limitado que el Proveedor
Externo realice esta misma configuracin en su propia infraestructura, con el objetivo de dar
flexibilidad a nuevas conectividades adicionales que se requieran durante la vida del contrato y
adicionalmente para robustecer la seguridad del servicio que brinda al SAT.

? Cada uno de los proveedores externos deber tener su propia VPN-VRF en la red LAN-WAN del
SAC, esto se realizar comenzando con la infraestructura que est instalada en cada local y
seguir con el resto de la infraestructura que sea necesario habilitar esta VPN-VRF en el contrato
del SAC.

15

16

? Las Interconexiones entre Proveedores Externos o entre Proveedores Externos y el SAT,

debern de realizarse a travs de Extranet de VPN-VRF. La extranet solo deber permitir la red
que estarn compartiendo las VPN-VRFs en relacin. Incluso, es deseable que sea a nivel de hosts
para robustecer la seguridad.

? Se deber asignar y configurar un ancho de banda especfico para cada una de las VRF de los
proveedores externos, con el objetivo de evitar que una VRF de un proveedor externo acapare u
ocupe ms ancho de banda del que este necesita para brindar los servicios al SAT.

? Se deber de definir un estricto direccionamiento de IP que deber de tener cada proveedor para
evitar duplicidades, entre los puntos a considerar son los siguientes que se mencionan de manera
enunciativa mas no limitativa:

- Evitar la duplicidad de direcciones de IP de las interconexiones dentro de las redes LAN de un

mismo proveedor Externo, esto incluye que el proveedor tenga su propio Centro de Datos
conectado a los mdulos de Terceros en los Centros de Datos del SAT.

- Evitar la duplicidad de direcciones de IP de las interconexiones dentro de las redes LAN de

diferentes Proveedores Externos.

- Evitar la duplicidad de direcciones de IP de las interconexiones por motivos de intercambiar trfico

al Interior de los Centros de Datos del SAT.

- Evitar la duplicidad de direcciones de IP de las interconexiones por motivos de intercambiar trfico

con Centros de Datos de otros Proveedores Externos que estn conectados a los Centros de Datos
del SAT.

- Evitar la duplicidad de direcciones de IP de las interconexiones por motivos de intercambiar trfico

con el SAT mismo en cualquier modalidad.

- Si por alguna necesidad el proveedor externo requiere implantar mecanismos para evitar
duplicidad de IP, NAT por ejemplo, el proveedor externo deber de asegurarse que estos
mecanismos no impacten los servicios que brindan al SAT, de lo contrario debern de evitarse.

Conclusiones Adicionales

16

17
De acuerdo a la informacin recibida por los participantes a travs de reuniones, se genera una
arquitectura de referencia Integral que servir para interconectar a Proveedores Externos a las
locales del SAT. As mismo se mencionan conclusiones que son importantes tomar en cuenta.

? Este documento es generado en base a la informacin recabada de las necesidades que tienen
los Proveedores Externos, as como a los Proveedores Externos que estn actualmente ya
instalados en locales, por lo que en caso de cambiar los requerimientos y/o se generen nuevos
escenarios, deber generarse una nueva versin del presente documento , para cumplir con las
necesidades del SAT.

? Si bien este documento sirve como base para interconectar a nuevos Proveedores Externos, se
recomienda por motivos de seguridad, control y operacin, alinear a los Proveedores Externos que
actualmente ya estn instalados en las locales del SAT a lo mencionado en este documento.

? Es recomendable en la medida de lo posible que en caso de requerir que el Proveedor Externo

requiera albergar infraestructura para brindar los servicios al SAT en los Centros de Datos del SAT,
sea mejor en sus instalaciones, es decir, en sus Centros de Datos y se conecten al SAT a travs de
los mdulos de Terceros que actualmente estn activos en los Centros de Datos del SAT.

Referencias
MTR - Arquitectura de Interconexin de Terceros a la Red LAN del SAC en locales del SAT

? Trminos de Referencia del SAC

? Trminos de Referencia del SPAC-C

? Trminos de Referencia de SASI

? Reuniones de trabajo con reas del SAT para consensar, robustecer el documento y apegarse a
las arquitecturas, servicios, lineamientos, operacin de los contratos actuales, por mencionar
algunos vigentes. Entre las reas con las que se generaron reuniones estn las siguientes:

17

18
Administracin de Comunicaciones de la Administracin Central de Operacin y Servicios
Tecnolgicos (ACOST).

- Gustavo Alfredo Valds Gonzlez.

- Daniel Eduardo Snchez Ramrez.

Administracin de Arquitectura de Seguridad de la Administracin Central de Seguridad

Monitoreo y Control (ACSMC

- Victor Manuel Hernandez Fragoso.

- Administracin Central de Transformacin Tecnolgica (ACTT)
- Roberto Vsquez Jimnez.
- Isaac Mendoza Gomez.

MTR - Arquitectura de Interconexin de Terceros a la Red LAN del SAC en locales del SAT

Glosario
[[
TERMINO
Centro de Datos
VPN-MPLS

DEFINICION
Se denomina centro de datos, o centro de procesamiento de datos (CPD) a
aquella ubicacin donde se concentran todos los recursos necesarios para el
procesamiento de la informacin de una organizacin
"VPN (Virtual Private Network). Red Privada Virtual es una tecnologa de red
que permite extender la red local sobre una red pblica relativamente
hablando.
MPLS (Multiprotocol Label Switching). Fue diseado para unificar el servicio
de transporte de datos para las redes basadas en circuitos y las basadas en
paquetes. Puede ser utilizado para transportar diferentes tipos de trfico,
incluyendo trfico de voz y de paquetes IP.
Contrato que actualmente tiene vigente el SAT para fines de interconectar los
18

19
inmuebles a travs de una red de VPN-MPLS. Adicionalmente se agregan
caractersticas de seguridad, calidad de servicio, VoIP, optimizacin de trfico,
por mencionar algunos de ellos. "
LAN (Local Area Network). Es la interconexin de varias computadoras y
perifricos. Su extensin est limitada fsicamente a un edificio o a un entorno
LAN
de 200 metros, Su aplicacin ms extendida es la interconexin de
computadoras personales y estaciones de trabajo en oficinas, fbricas, etc.,
para compartir recursos e intercambiar datos y aplicaciones
WAN (Wide Area Network). Un rea amplia que se extiende sobre un rea
geogrfica extensa, a veces un pas o un continente, y su funcin fundamental
WAN
est orientada a la interconexin de redes o equipos terminales que se
encuentran ubicados a grandes distancias entre s.
El mdulo de frontera de seguridad tiene como finalidad implementar
Frontera o Mdulo mecanismos de seguridad integral tales como firewall, prevencin de intrusos,
terminacin de tneles SSL y deteccin y mitigacin de ataques distribuidos
de Seguridad
de negacin de servicios en los accesos hacia la red del SAT.
El mdulo de enlace WAN deber tener como finalidad el poder brindar una
Frontera o Mdulo
plataforma de enrutamiento escalable y robusta para los servicios de conexin
de WAN
desde y hacia la Red del SAT.
El mdulo de Ncleo tiene como finalidad poder brindar la conexin en capa 2
y capa 3 de los diferentes elementos en la arquitectura del Centro de Datos. El
Capa de Core
ncleo tiene las caractersticas que permitan brindar a la arquitectura un
(Mdulo de ncleo)
elemento central con caractersticas de alta disponibilidad, escalabilidad y alto
desempeo para responder a las necesidades futuras del SAT.
Cortafuegos (firewall en ingls) es una parte de un sistema o una red que est
diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas. Se trata de un dispositivo o conjunto de
Firewall
dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre
los diferentes mbitos sobre la base de un conjunto de normas y otros
criterios.
Intrusion Prevention Systems . Los IPS presentan una mejora importante
sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de
IPS
control de acceso basados en los contenidos del trfico, en lugar de
direcciones IP o puertos.
Equipo que tiene como objetivo optimizar la utilizacin de ancho de banda e
Optimizador
incrementar el desempeo de las aplicaciones de misin crtica del SAT en los
sitios que as lo requieran.
Una direccin IP es una etiqueta numrica que identifica, de manera lgica y
jerrquica, a una interfaz (elemento de comunicacin/conexin) de un
Direccin de IP
dispositivo (habitualmente una computadora) dentro de una red que utilice el
protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo
TCP/IP.
Es un plan de accin para afrontar riesgos de seguridad, o un conjunto de
reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir
Polticas de
cualquier cosa desde buenas prcticas para la seguridad de un solo
Seguridad
ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad
de un pas entero.

19

20
Filtraje
Dentro-Fuera
(Inside-Outside)
Encriptacin

Traducciones de IP
(NAT)

Mltiples
Contextos

Equipos de Puntos
de Demarcacin.

Ruteo

Calidad de Servicio

UTP

ITIL

Niveles de Servicio

Acuerdo Operativo
(OLA)

Son polticas de seguridad que se aplican tanto al trfico que proviene del
exterior a interior como trfico que va del interior al exterior (Dentro y Fuera).
Es la accin de cifrar y descifrar informacin mediante tcnicas especiales y
se emplea frecuentemente para permitir un intercambio de mensajes que slo
puedan ser ledos por personas a las que van dirigidos y que poseen los
medios para descifrarlos.
NAT (Network Address Translation). Consiste en convertir en tiempo real las
direcciones utilizadas en los paquetes transportados. Su uso ms comn es
permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder
a Internet.
Los dispositivos que manejan Mltiples Contextos o Contextos Virtuales,
tienen la accin de particionar un equipo que mltiples equipos virtuales, cada
equipo virtual es conocido como contexto y cada contexto trabaja de manera
independiente creando as sus propias polticas de seguridad, interfaces y
administracin.
El punto de demarcacin es el punto en que el proveedor de red termina y se
conecta a travs del cableado en las instalaciones del cliente al equipo del
cliente.
Es la funcin de buscar un camino entre todos los posibles, en una red de
paquetes cuyas topologas poseen una gran conectividad. Dado que se trata
de encontrar la mejor ruta posible, lo primero ser definir qu se entiende por
mejor ruta y en consecuencia cul es la mtrica que se debe utilizar para
medirla.
Son las tecnologas que garantizan la transmisin de cierta cantidad de
informacin en un tiempo dado (throughput). Calidad de servicio es la
capacidad de dar un buen servicio. Es especialmente importante para ciertas
aplicaciones tales como la transmisin de vdeo o voz.
Unshielded Twisted Pair. Es un tipo de cableado utilizado principalmente para
comunicaciones. Se encuentra normalizado de acuerdo a la norma
estadounidense TIA/EIA-568-B y a la internacional ISO-11801.
La Biblioteca de Infraestructura de Tecnologas de Informacin,
frecuentemente abreviada ITIL (del ingls Information Technology
Infrastructure Library), es un marco de trabajo de las buenas prcticas
destinadas a facilitar la entrega de servicios de tecnologas de la informacin
(TI). ITIL resume un extenso conjunto de procedimientos de gestin ideados
para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI.
Es un acuerdo de nivel de servicio o Service Level Agreement, tambin
conocido por las siglas SLA, es un contrato escrito entre un proveedor de
servicio y su cliente con objeto de fijar el nivel acordado para la calidad de
dicho servicio.
Un acuerdo de nivel operacional (OLA) define las relaciones interdependientes
entre los grupos de apoyo interno de una organizacin que trabaja para
apoyar un acuerdo de nivel de servicio (SLA). El acuerdo define las
responsabilidades de cada grupo de apoyo interno hacia otros grupos de
apoyo, incluido el proceso y el calendario para la entrega de sus servicios.

20

21
Punto de
Es un lugar geogrfico donde 2 redes se interconectan e intercambiar trfico,
Interconexin (POI) comnmente una red es del proveedor y la otra es del cliente, aunque tambin
se da entre proveedores.
]]

Contacto
? Sobre la presente Arquitectura: Erick Rubn Galvez Ramirez, erick.galvez@sat.gob.mx
? Sobre la presente Arquitectura: Daniel Zamora Villalobos, daniel.zamora@sat.gob.mx
? Sobre su publicacin en el MTR: Isaac Flores Lira,isaac.flores@sat.gob.mx
? Sobre su publicacin en el MTR: Ivan Hernandez Garcia,ivan.garcia@sat.gob.mx

21