1

Arquitectura de Interconexión de Terceros a la Red LAN del
SAC en locales del SAT
Marco Tecnológico de Referencia
Área de Servicio:
Categoría de
Servicio:
Subcategoría de
Servicio:
Dominio
Tecnológico:
Arquitectura de
Referencia:
ID:
Archivo:
Autor:
Fecha de
Creación:
Fecha
Notificación:
Fecha de
Aplicación:
Fin de vigencia:
Grupos
Afectados:

Servicios de Plataforma e Infraestructura
Hardware / Infraestructura
Infraestructura
Dominio de Computo Central
Arquitectura de Interconexión de Terceros a la Red LAN del SAC en locales del
SAT
A00014
TRM_SPI_Arquitectura de Interconexión de Proveedores Externos a la Red LAN
del SAT en las Locales
Daniel Zamora Villalobos
30/07/2012
14/09/2012
17/09/2012
S/F
Arquitectura Física y Seguridad, Desarrollo de Negocios, Líderes de Proyectos
relacionado con Proveedor Externos que requieren conectividad en locales,
Gobiernos de contrato en relación, Áreas de Seguridad.

Historia de Revisiones
Versión

Fecha

Motivo

Autor
1

2
0.1

30/07/2012

0.2

02/07/2012

0.3

07/08/2012

1.0

07/09/2012

Creación del Documento
Comentarios de la Administración de Arquitectura de
Seguridad de la Administración Central de Seguridad
Monitoreo y Control (ACSMC).
Comentarios de la Administración de Comunicaciones de la
Administración Central de Operación y Servicios
Tecnológicos
Revisión y aprobación del documento

Daniel
Zamora
Villalobos
Daniel
Zamora
Villalobos
Daniel
Zamora
Villalobos
Erick
Rubén
Galvez
Ramirez

Contenido

Contenido
• 1 Arquitectura de Interconexión de Terceros a la Red LAN del SAC en locales del
SAT
♦ 1.1 Historia de Revisiones
♦ 1.2 Contenido
♦ 1.3 Resumen
♦ 1.4 Arquitectura
♦ 1.5 Referencias
♦ 1.6 Glosario
♦ 1.7 Contacto

Resumen
Este documento define la arquitectura y lista los lineamientos necesarios que se deben de
considerar e incorporar, con la finalidad de interconectar a los proveedores externos (terceros) a la
red del SAT en las Administraciones Locales para que brinden los servicios al SAT.
Se debe considerar que los servicios que brinden los proveedores externos deberán tener carácter
privado, es decir, el total de los componentes habilitadores a usar por los proveedores externos
para proporcionar los servicios al SAT son exclusivos al SAT, incluyendo los enlaces de
interconexión.
Nota Aclaratoria. Es importante comentar que los gráficos e ilustraciones incorporadas en este
documento son de carácter exclusivo, por lo que no deberán de copiarse y/o agregarse a
documentos que tienen relación licitatoria (Términos de Referencia, Pre-bases, Bases, por
mencionar algunos de ellos).

Objetivo

2

3
Derivado a la necesidad de Interconectar a un proveedor externo, llamado también a lo largo del
documento como ?Tercero?, a la red local (LAN) del Contrato SAC directamente en las
administraciones locales, se realiza un análisis para establecer que tecnologías, componentes,
protocolos, lineamientos, reglas, por mencionar algunos, es necesario usar.

La arquitectura está basada en el supuesto que cada Administración Local ya cuenta con
componentes como Firewalls, Switches, Enrutadores y enlaces WAN o LAN del contrato SAC de la
red VPN-MPLS, que son usados para que las locales o inmuebles se interconecten entré sí, e
intercambien tráfico de negocio que el SAT requiere para su accionar.

El propósito del presente documento es analizar y desarrollar un marco tecnológico enfocado a las
soluciones que respondan a la necesidad de Interconectar Terceros a la red LAN del SAC en
inmuebles.

Fuera del Alcance

Quedan fuera del alcance de este documento, los siguientes puntos:

? Consideraciones por SLA del Servicio.

? Necesidades adicionales del servicio que no forman parte de la Interconexión entre Terceros y el
SAT.

? Dimensionamiento en función de número de conexiones o sesiones, tráfico, sesiones de
protocolos, interfaces, puertos, distancias, cantidad de instancias y contextos, cantidad de vlan,
vpn-vrf, extranet, cantidad de usuarios y proveedores, desempeños de las infraestructuras o
componentes en relación.

? Topologías e Ingenierías.
? Diseño de alto y bajo nivel del servicio.

? Configuraciones

Antecedentes / Situación Actual
Actualmente el SAT no cuenta con una arquitectura de interconexión de terceros a la red LAN del
SAT en las administraciones locales. Se tiene un antecedente de un proyecto que sí fue conectado,
sin embargo hasta el momento no se han pronunciado bajo que marco tecnológico esta
3

4
interconexión fue realizada.
Actualmente el SAT conecta a entidades externas o terceros a través de los módulos existentes en
los Centros de Datos, con ello se centralizan las conexiones y se obtiene un control de lo que se
conecta y transfiere tanto al interior como al exterior del SAT.
Por lo anterior, si un tercero requiere conectividad a un inmueble deberá de hacerlo a través de
estos módulos que están hospedados en los Centros de Datos, por lo que el requerimiento de
conectar un tercero a las locales de manera directa formará parte de este Marco Tecnológico de
Referencia.

Consideraciones Generales de la Interconexión
? Proveer una solución de conectividad escalable, segura y con buen desempeño en el servicio,
entre la red LAN del Proveedor Externo (Terceros) con la red LAN del SAT.

? La conectividad desde la red LAN del Proveedor Externo hacia la red LAN del SAT deberá ser
provista por el Proveedor Externo a través de puertos LAN y enlaces redundantes hacia los
componentes que conforman la red LAN del SAT.

? Es importante mencionar que al hablar ?tratamiento de tráfico? a lo largo del documento, se
estará haciendo mención o referencia al tráfico al que se le aplican restricciones e
inspecciones-mitigaciones de seguridad, ruteo, switcheo, optimización, por mencionar algunos, que
deberán de estar basadas en las mejores prácticas y estándares del mercado mundial.

? Al tráfico desde y hacia el SAT proveniente de la red LAN del Proveedor Externo y viceversa, se
le deberán de aplicar políticas de seguridad, esto a través de la frontera de seguridad administrada
por los contratos vigentes del SAT y adicionalmente la frontera de seguridad de los Proveedores
Externos.

? Es importante definir acuerdos operativos (OLA, por sus siglas mencionadas en el Marco de
Referencia ITIL) entre los Proveedores Externos y los Proveedores que conforman los contratos de
la Red de comunicaciones de VPN y de los Centros de Datos del SAT, por mencionar algunos, con
la finalidad de poder gestionar los cambios necesarios para el tratamiento del tráfico y la entrega
del servicio al SAT.

Consideraciones Técnicas de la Interconexión

? Cada uno de los enlaces de interconexión entre la red LAN del Proveedor Externo y la red LAN
del SAT, deberán ser entregados por el Proveedor Externo a través de interfaces físicas con un
mínimo de 1-Gbps para cada enlace, o incluso puede ser superior si el servicio así lo demanda.
Para este último punto es importante ver las disponibilidades de los componentes habilitadores de
4

5
la red LAN del SAT. También se entiende que por cuestiones técnicas del SAT pudiera llegar a
haber excepciones justificadas que esta mención no se dé, para lo cual esto último deberán de
trabajarse como caso especial. El dimensionamiento e implementación de los crecimientos de los
enlaces de interconexión serán responsabilidad del Proveedor Externo durante la vigencia del
contrato.

? Se requiere que al tráfico desde y hacia el SAT proveniente de la red LAN del Proveedor Externo,
se le apliquen políticas de seguridad, esto a través de la frontera de seguridad, en la que se
contemplen equipamiento de firewalls e IPS?s, esto ayudará a tener un control de acceso de las
aplicaciones que solo son permitidas (filtraje dentro-fuera) y a su vez se generará un monitoreo en
tiempo real para detectar y mitigar tráfico malicioso que provenga de la red LAN del Proveedor
Externo hacia puntos internos del SAT. Por lo anterior, los Proveedores Externos deberán tener su
propia frontera de seguridad para protegerse tanto de sus accesos externos como de lo que reciba
del SAT u otros Terceros, y la frontera de Seguridad del SAT deberá protegerse de lo que recibida
de los proveedores Externos. Para el IPS es necesario que se definan las reglas de inspección con
la finalidad de que los proveedores que operan y mantienen estos componentes puedan cumplir
estos requerimientos seguridad que ocupa el servicio que se está brindando.

? Para la optimización es necesario que se definan las reglas que se van a requerir para optimizar
de la mejor manera el tráfico del servicio a brindar, esto incluye el tráfico de control.

? Debido a que pudiera haber tráfico generado desde la Red LAN del Proveedor Externo con
destino a otros inmuebles del SAT, donde ocupase la red de VPN-MPLS del SAT, estos servicios
deben como recomendación trabajar bajo un esquema de servicios de WAN y no de LAN, ya que
los mecanismos de conexión son diferentes, por lo que el Proveedor Externo deberá considerar
que los servicios transferidos desde y hacia el SAT por estos enlaces trabajen de la mejor manera
en términos de seguridad y desempeño, cumpliendo con los niveles de servicio solicitados. La
solución deberá ser escalable entre la red LAN del Proveedor Externo y la red LAN del SAT.
Algunas de las variables que deberá el Proveedor Externo considerar de manera mínima, son las
siguientes:

- Número de conexiones que usan los servicios.
- Número de conexiones que usan los aplicativos.
- Retraso de paquetes en la transmisión extremo a extremo debido a la distancia, interfaz y/o
medio.
- Variación del retraso del paquete debido a distancia y/o medio.
- Perdida de paquetes

5

6

Arquitectura
A continuación se define la arquitectura de referencia.

Figura 1. Arquitectura de Referencia para Interconexión de Terceros a la red LAN del SAT en las
locales.
En la figura 1 se muestra una arquitectura de referencia donde se puede apreciar los módulos y
fronteras que el SAT deberá usar para la interconexión de la red LAN del Proveedor Externo con la
Red LAN del SAT.
Así mismo la Red LAN del SAT está construida por componentes que se enlistan de manera
mínima a continuación.

- Firewalls
- IPS
- Enrutadores

6

7
- Switches
- Gestión
- Optimizadores de Tráfico.

De acuerdo a la arquitectura mencionada en la figura 1, se han identificado hasta el momento 4
tipos de escenarios que se podrán estar manejando.
Por lo Anterior, los escenarios y flujos son los que a continuación se describen, no sin antes definir
las consideraciones generales que aplican para todos los escenarios.

Consideraciones generales para todos los escenarios en cuanto a la descripción de los flujos

? La seguridad de los Proveedores Externos es responsabilidad solamente de los mismos
Proveedores Externos, por lo que deberán contar con los componentes habilitadores necesarios en
su frontera de seguridad para blindar su red y servicios en su totalidad.

? La seguridad de la red LAN y WAN del SAT es responsabilidad de los servicios contratados con
los proveedores en relación, como son los contratos del SAC, SPAC-C, SASI, por mencionar
algunos de ellos.

? No se limita la cantidad de tratamientos de tráfico que se realicen en una conectividad y
transferencia de información end-to-end, es decir, la cantidad de tratamientos de tráfico es
directamente proporcional a la seguridad y calidad en las comunicaciones que se quiera mantener
para el servicio de manera integral.
Sin embargo deberán de preservarse y ejecutarse por lo menos los tratamientos de tráfico
mencionados en cada uno de los escenarios que más adelante se mencionan.

? Todos los tratamientos de tráfico que se realicen, entre otros, deberán de acordarse en las mesas
de planeación y/o ingeniería, y siempre deberán de alinearse y apegarse a las normas, marcos,
lineamientos, reglas, por mencionar algunos, definidos por el área de Seguridad del SAT, quien
finalmente dará su visto bueno.

Escenario 1. Flujos de Servicios desde la red LAN del Proveedor Externo conectado en una
Local, hacia los Inmuebles y/o Centros de Datos del SAT y viceversa usando la red de
comunicaciones de VPN-MPLS del SAT consolidado en contrato del SAC.
7

8

Figura 2. Flujo del Servicio desde la red LAN del Proveedor Externo hacia los inmuebles del SAT y
Viceversa, usando la red de comunicaciones de VPN-MPLS del SAT.

? El tráfico desde la red LAN del Proveedor Externo viajará al módulo de Interconexión del SAT en
la misma local, para posteriormente viajar a través de la red de VPN-MPLS del SAT para llegar al
inmueble destino del SAT, donde pudiera finalizar ya sea en la misma red LAN del SAT o en la red
LAN del Proveedor Externo. Los tratamientos de tráfico para estos tipos de flujos son los
siguientes:

- Tratamiento de Tráfico en la red LAN del Proveedor Externo en la Local Origen.
- Tratamiento de tráfico en la red LAN del SAT en la Local Origen.
- Tratamiento de tráfico en la red LAN del SAT en la Local Destino.
8

9
- Tratamiento de tráfico en la red LAN del Proveedor Externo en la local Destino.

? De la misma manera aplican los mismos tratamientos de tráfico si el tráfico viajará en sentido
contrario a lo mencionado en el punto anterior.

? Si el tráfico va hacia y desde el Centro de Datos se deberán de aplicar los tratamientos de tráfico
que trabajan en cada uno de los módulos de la Arquitectura de Referencia del Centro de Datos del
SAT por donde pasará el tráfico, por lo que es requerido que los Gobiernos de Contrato en relación
formen parte de las mesas de Planeación y/o Ingeniería.
Es importante considerar que el Centro de Datos del SAT tiene un módulo de nombre VPN el cual
forma parte de la red de VPN-MPLS.

Escenario 2. Flujos de Servicios desde un Proveedor Externo (tercero) a otro Proveedor
Externo (Tercero) en la misma localidad del SAT.

9

10

Figura 3. Flujo del Servicio desde un Proveedor Externo a otro Proveedor Externo en la misma
localidad del SAT.

? El tráfico desde la red LAN de un Proveedor Externo hacia la red LAN del otro Proveedor Externo
viajará a través de la redes LAN de ambos proveedores incluyendo la red LAN del SAT, los
tratamientos de tráfico en la Local Origen para estos tipos de flujos son los siguientes:

- Tratamiento de Tráfico en la red LAN del Proveedor Externo Origen.

- Tratamiento de tráfico en la red LAN del SAT.

- Tratamiento de tráfico en la red LAN del Proveedor Externo Destino.

10

11
? De la misma manera aplican los mismos tratamientos de tráfico si el tráfico viajará en sentido
contrario a lo mencionado en el punto anterior.

Escenario 3. Flujos de Servicios desde un Proveedor Externo (tercero) en una local a otro
Proveedor Externo (Tercero) en diferente localidad del SAT.

Figura 4. Flujo del Servicio desde un Proveedor Externo en una local a otro Proveedor Externo en
diferente localidad del SAT.

? El tráfico desde la red LAN del Proveedor Externo Origen viajará al módulo de Interconexión del
SAT en la misma local, para posteriormente viajar a través de la red de VPN-MPLS del SAT para
llegar al inmueble destino del SAT, donde finalizará en la red LAN del Proveedor Externo Destino.
Los tratamientos de tráfico para estos tipos de flujos son los siguientes:

- Tratamiento de Tráfico en la red LAN del Proveedor Externo Origen en la Local Origen.

11

12
- Tratamiento de tráfico en la red LAN del SAT en la Local Origen.

- Tratamiento de tráfico en la red LAN del SAT en la Local Destino.

- Tratamiento de tráfico en la red LAN del Proveedor Externo Destino en la local Destino.

? De la misma manera aplican los mismos tratamientos de tráfico si el tráfico viajará en sentido
contrario a lo mencionado en el punto anterior.

Escenario 4. Flujos de Servicios desde la red LAN del Proveedor Externo conectado en una
Local, hacia sus Centros de Datos que están conectados al módulo de Terceros de los
Centros de Datos del SAT.

12

13
Figura 5. Flujo del Servicio desde la red LAN del Proveedor Externo hacia sus Centros de Datos
que están conectados a los módulos de Terceros de los Centros de Datos del SAT.

? El tráfico desde la red LAN de un Proveedor Externo hacia los Centros de Datos del Proveedor
Externo conectados en los módulos de terceros de los Centros de Datos del SAT, viajará a través
de la red de VPN-MPLS, los tratamientos de tráfico para estos tipos de flujos son los siguientes:

- Tratamiento de Tráfico en la red LAN del Proveedor Externo en la Local Origen.

- Tratamiento de tráfico en la red LAN del SAT en la Local Origen.

- Tratamiento de tráfico en los Centros de Datos del SAT. Aquí los tratamientos de tráfico son en
cada uno de los módulos de la Arquitectura de Referencia del Centro de Datos del SAT por donde
pasará el tráfico, por lo que es requerido que los Gobiernos de Contrato en relación formen parte
de las mesas de Planeación y/o Ingeniería. Es importante considerar que el Centro de Datos del
SAT tiene un módulo de nombre VPN el cual forma parte de la red de VPN-MPLS.

- Tratamiento de tráfico en la red LAN de los Centros de Datos de los Proveedores Externos.

? De la misma manera aplican los mismos tratamientos de tráfico si el tráfico viajará en sentido
contrario a lo mencionado en el punto anterior.

Requerimientos Generales de la Interconexión

? El proveedor deberá llegar a los componentes de la red LAN del SAT tanto por enlaces eléctricos
(UTP) o por fibra óptica, esto dependiendo de las distancias y la disponibilidad del tipo de puerto en
la infraestructura de la red LAN del SAT, por lo que cualquier componente habilitador necesario
para el servicio, menciónase de manera enunciativa mas no limitativa, equipos de puntos de
demarcación de capa 2 y de capa 3, equipos de interconexión para interoperabilidad entre
dispositivos de diferentes fabricantes (tanto para interconexión física como para servicios),
Firewalls, Gbics, SFP, equipamiento para acceso inalámbricos y sus contraloras, IPSs, Ruteo,
equipos de transcoding, Calidad de Servicios, configuraciones, componentes requeridos para
conectar cableados UTP o fibra óptica desde sus equipos hasta los equipos del SAT sin importar
distancias, que el Proveedor Externo requiera instalar en las locales para poder ofrecer el total de
los servicios al SAT, deberá el proveedor de contemplarlo, dimensionarlo, implementarlo y operarlo,
como parte de su red LAN.

13

14

? El Proveedor Externo se obliga en todo momento durante la vigencia del contrato a estar
administrando la capacidad y desempeño (Capacity Management,), de cada uno de los enlaces y
componentes habilitadores provistos por él mismo al SAT para brindar sus servicios y se
responsabilizará por tener siempre instalaciones disponibles para evitar saturaciones o bajos
desempeños en la red para hardware, software, licenciamiento, número de troncales, enlaces,
entre otros. Los crecimientos que el proveedor externo requiera efectuar en este sentido no
deberán representar costos económicos adicionales al SAT.

? Es importante mencionar que en caso de que las redes del contrato de VPN-MPLS y Centros de
Datos del SAT no estén operando con multicast, los Proveedores Externos deberán plantear una
solución para evitar usar protocolo de Multicast o, en su defecto, deberán implementar mecanismos
que puedan ayudar al manejo de Multicast dentro de la red del SAT de acuerdo a su solución y sin
que el SAT se vea obligado a adquirir componentes habilitadores lógicos y/o físicos,
configuraciones, cambios arquitectónicos, cambios que generan una erogación económica, pérdida
o degradaciones de este y otros servicios de otros contratos, por mencionar algunos.

? Los equipos de comunicación llamados punto de demarcación que proveerá el Proveedor
Externo como punto de Interconexión hacia la Red del SAT, deberán de soportar protocolos para
interconexión y servicios de Capa 2, así como también Protocolos de Ruteo y servicios de Capa 3,
adicionales a los protocolos y características que el Proveedor Externo considera necesarias que el
equipo deberá de soportar para brindar los servicios al SAT.

? El proveedor deberá proveer los mecanismos necesarios para no tener problemas de Unidad
Máxima de Transmisión (MTU, por sus siglas en inglés) para los servicios que se brindan a través
de los enlaces de interconexión al SAT.

? El proveedor Externo deberá entre otras, administrar y operar su propia infraestructura.

? Es requerido que el Proveedor Externo instale sus componentes habilitadores en una zona
protegida por sus elementos de seguridad como Firewalls, IPS, por mencionar algunos, que el
mismo proveedor deberá de implementar y operar.

? Si por necesidades del Proveedor de Terceros se requiere realizar movimientos de IDF, MDF,
adecuaciones civiles, movimiento de cableado, por mencionar algunos, en las locales del SAT y
con el permiso previo del SAT, será el Proveedor de Terceros quien cubra la logística,
14

15
implementación y los gastos económicos totales para dejar operando lo que requiera para brindar
los servicios al SAT, así como los servicios que estaban operando de terceros y del mismo SAT
antes de los movimientos.

Requerimientos Técnicos de la Interconexión

? Cada uno de los Proveedores Externos deberá de tener su propia Red LAN en las
administraciones locales, conectándose solamente a la red del LAN del SAT a través de enlaces de
Interconexión conectados a los Switches-Routers del contrato SAC.

? Los componentes habilitadores para el tratamiento de tráfico, incluyendo los enlaces de
Interconexión que deberá el Proveedor Externo proveer, dimensionar y operar, deberán ser
redundantes. La redundancia debe ser directamente proporcional al SLA solicitado por el SAT para
el servicio en relación y de manera integral.

? Es recomendable que los componentes habilitadores de seguridad (firewalls, IPS, por mencionar
algunos) se configuren de tal manera que tengan la flexibilidad de no limitar el uso de los mismos
para brindar servicios al SAT y las nuevas funcionalidades que se vayan habilitando durante la
vigencia del contrato.

? Cada Proveedor Externo deberá de pertenecer a una VLAN independiente en la red LAN de la
localidad donde se instale. Esta VLAN deberá de configurarse en los componentes habilitadores
del SAC.

? Se deberá de configurar como mínimo una instancia en los equipos de seguridad del Contrato del
SAT para cada uno de los proveedores Externos, sin embargo, no está limitado que el Proveedor
Externo realice esta misma configuración en su propia infraestructura, con el objetivo de dar
flexibilidad a nuevas conectividades adicionales que se requieran durante la vida del contrato y
adicionalmente para robustecer la seguridad del servicio que brinda al SAT.

? Cada uno de los proveedores externos deberá tener su propia VPN-VRF en la red LAN-WAN del
SAC, esto se realizará comenzando con la infraestructura que está instalada en cada local y
seguirá con el resto de la infraestructura que sea necesario habilitar esta VPN-VRF en el contrato
del SAC.

15

16

? Las Interconexiones entre Proveedores Externos o entre Proveedores Externos y el SAT,
deberán de realizarse a través de Extranet de VPN-VRF. La extranet solo deberá permitir la red
que estarán compartiendo las VPN-VRFs en relación. Incluso, es deseable que sea a nivel de hosts
para robustecer la seguridad.

? Se deberá asignar y configurar un ancho de banda específico para cada una de las VRF de los
proveedores externos, con el objetivo de evitar que una VRF de un proveedor externo acapare u
ocupe más ancho de banda del que este necesita para brindar los servicios al SAT.

? Se deberá de definir un estricto direccionamiento de IP que deberá de tener cada proveedor para
evitar duplicidades, entre los puntos a considerar son los siguientes que se mencionan de manera
enunciativa mas no limitativa:

- Evitar la duplicidad de direcciones de IP de las interconexiones dentro de las redes LAN de un
mismo proveedor Externo, esto incluye que el proveedor tenga su propio Centro de Datos
conectado a los módulos de Terceros en los Centros de Datos del SAT.

- Evitar la duplicidad de direcciones de IP de las interconexiones dentro de las redes LAN de
diferentes Proveedores Externos.

- Evitar la duplicidad de direcciones de IP de las interconexiones por motivos de intercambiar tráfico
al Interior de los Centros de Datos del SAT.

- Evitar la duplicidad de direcciones de IP de las interconexiones por motivos de intercambiar tráfico
con Centros de Datos de otros Proveedores Externos que están conectados a los Centros de Datos
del SAT.

- Evitar la duplicidad de direcciones de IP de las interconexiones por motivos de intercambiar tráfico
con el SAT mismo en cualquier modalidad.

- Si por alguna necesidad el proveedor externo requiere implantar mecanismos para evitar
duplicidad de IP, NAT por ejemplo, el proveedor externo deberá de asegurarse que estos
mecanismos no impacten los servicios que brindan al SAT, de lo contrario deberán de evitarse.

Conclusiones Adicionales

16

17
De acuerdo a la información recibida por los participantes a través de reuniones, se genera una
arquitectura de referencia Integral que servirá para interconectar a Proveedores Externos a las
locales del SAT. Así mismo se mencionan conclusiones que son importantes tomar en cuenta.

? Este documento es generado en base a la información recabada de las necesidades que tienen
los Proveedores Externos, así como a los Proveedores Externos que están actualmente ya
instalados en locales, por lo que en caso de cambiar los requerimientos y/o se generen nuevos
escenarios, deberá generarse una nueva versión del presente documento , para cumplir con las
necesidades del SAT.

? Si bien este documento sirve como base para interconectar a nuevos Proveedores Externos, se
recomienda por motivos de seguridad, control y operación, alinear a los Proveedores Externos que
actualmente ya están instalados en las locales del SAT a lo mencionado en este documento.

? Es recomendable en la medida de lo posible que en caso de requerir que el Proveedor Externo
requiera albergar infraestructura para brindar los servicios al SAT en los Centros de Datos del SAT,
sea mejor en sus instalaciones, es decir, en sus Centros de Datos y se conecten al SAT a través de
los módulos de Terceros que actualmente están activos en los Centros de Datos del SAT.

Referencias
MTR - Arquitectura de Interconexión de Terceros a la Red LAN del SAC en locales del SAT

? Términos de Referencia del SAC

? Términos de Referencia del SPAC-C

? Términos de Referencia de SASI

? Reuniones de trabajo con áreas del SAT para consensar, robustecer el documento y apegarse a
las arquitecturas, servicios, lineamientos, operación de los contratos actuales, por mencionar
algunos vigentes. Entre las áreas con las que se generaron reuniones están las siguientes:

17

18
Administración de Comunicaciones de la Administración Central de Operación y Servicios
Tecnológicos (ACOST).

- Gustavo Alfredo Valdés González.

- Daniel Eduardo Sánchez Ramírez.

Administración de Arquitectura de Seguridad de la Administración Central de Seguridad
Monitoreo y Control (ACSMC

- Victor Manuel Hernandez Fragoso.
- Administración Central de Transformación Tecnológica (ACTT)
- Roberto Vásquez Jiménez.
- Isaac Mendoza Gomez.

MTR - Arquitectura de Interconexión de Terceros a la Red LAN del SAC en locales del SAT

Glosario
[[
TERMINO
Centro de Datos
VPN-MPLS

DEFINICION
Se denomina centro de datos, o centro de procesamiento de datos (CPD) a
aquella ubicación donde se concentran todos los recursos necesarios para el
procesamiento de la información de una organización
"VPN (Virtual Private Network). Red Privada Virtual es una tecnología de red
que permite extender la red local sobre una red pública relativamente
hablando.
MPLS (Multiprotocol Label Switching). Fue diseñado para unificar el servicio
de transporte de datos para las redes basadas en circuitos y las basadas en
paquetes. Puede ser utilizado para transportar diferentes tipos de tráfico,
incluyendo tráfico de voz y de paquetes IP.
Contrato que actualmente tiene vigente el SAT para fines de interconectar los
18

19
inmuebles a través de una red de VPN-MPLS. Adicionalmente se agregan
características de seguridad, calidad de servicio, VoIP, optimización de tráfico,
por mencionar algunos de ellos. "
LAN (Local Area Network). Es la interconexión de varias computadoras y
periféricos. Su extensión está limitada físicamente a un edificio o a un entorno
LAN
de 200 metros, Su aplicación más extendida es la interconexión de
computadoras personales y estaciones de trabajo en oficinas, fábricas, etc.,
para compartir recursos e intercambiar datos y aplicaciones
WAN (Wide Area Network). Un área amplia que se extiende sobre un área
geográfica extensa, a veces un país o un continente, y su función fundamental
WAN
está orientada a la interconexión de redes o equipos terminales que se
encuentran ubicados a grandes distancias entre sí.
El módulo de frontera de seguridad tiene como finalidad implementar
Frontera o Módulo mecanismos de seguridad integral tales como firewall, prevención de intrusos,
terminación de túneles SSL y detección y mitigación de ataques distribuidos
de Seguridad
de negación de servicios en los accesos hacia la red del SAT.
El módulo de enlace WAN deberá tener como finalidad el poder brindar una
Frontera o Módulo
plataforma de enrutamiento escalable y robusta para los servicios de conexión
de WAN
desde y hacia la Red del SAT.
El módulo de Núcleo tiene como finalidad poder brindar la conexión en capa 2
y capa 3 de los diferentes elementos en la arquitectura del Centro de Datos. El
Capa de Core
núcleo tiene las características que permitan brindar a la arquitectura un
(Módulo de núcleo)
elemento central con características de alta disponibilidad, escalabilidad y alto
desempeño para responder a las necesidades futuras del SAT.
Cortafuegos (firewall en inglés) es una parte de un sistema o una red que está
diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas. Se trata de un dispositivo o conjunto de
Firewall
dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre
los diferentes ámbitos sobre la base de un conjunto de normas y otros
criterios.
Intrusion Prevention Systems . Los IPS presentan una mejora importante
sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de
IPS
control de acceso basados en los contenidos del tráfico, en lugar de
direcciones IP o puertos.
Equipo que tiene como objetivo optimizar la utilización de ancho de banda e
Optimizador
incrementar el desempeño de las aplicaciones de misión crítica del SAT en los
sitios que así lo requieran.
Una dirección IP es una etiqueta numérica que identifica, de manera lógica y
jerárquica, a una interfaz (elemento de comunicación/conexión) de un
Dirección de IP
dispositivo (habitualmente una computadora) dentro de una red que utilice el
protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo
TCP/IP.
Es un plan de acción para afrontar riesgos de seguridad, o un conjunto de
reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir
Políticas de
cualquier cosa desde buenas prácticas para la seguridad de un solo
Seguridad
ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad
de un país entero.

19

20
Filtraje
Dentro-Fuera
(Inside-Outside)
Encriptación

Traducciones de IP
(NAT)

Múltiples
Contextos

Equipos de Puntos
de Demarcación.

Ruteo

Calidad de Servicio

UTP

ITIL

Niveles de Servicio

Acuerdo Operativo
(OLA)

Son políticas de seguridad que se aplican tanto al tráfico que proviene del
exterior a interior como tráfico que va del interior al exterior (Dentro y Fuera).
Es la acción de cifrar y descifrar información mediante técnicas especiales y
se emplea frecuentemente para permitir un intercambio de mensajes que sólo
puedan ser leídos por personas a las que van dirigidos y que poseen los
medios para descifrarlos.
NAT (Network Address Translation). Consiste en convertir en tiempo real las
direcciones utilizadas en los paquetes transportados. Su uso más común es
permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder
a Internet.
Los dispositivos que manejan Múltiples Contextos o Contextos Virtuales,
tienen la acción de particionar un equipo que múltiples equipos virtuales, cada
equipo virtual es conocido como contexto y cada contexto trabaja de manera
independiente creando así sus propias políticas de seguridad, interfaces y
administración.
El punto de demarcación es el punto en que el proveedor de red termina y se
conecta a través del cableado en las instalaciones del cliente al equipo del
cliente.
Es la función de buscar un camino entre todos los posibles, en una red de
paquetes cuyas topologías poseen una gran conectividad. Dado que se trata
de encontrar la mejor ruta posible, lo primero será definir qué se entiende por
mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para
medirla.
Son las tecnologías que garantizan la transmisión de cierta cantidad de
información en un tiempo dado (throughput). Calidad de servicio es la
capacidad de dar un buen servicio. Es especialmente importante para ciertas
aplicaciones tales como la transmisión de vídeo o voz.
Unshielded Twisted Pair. Es un tipo de cableado utilizado principalmente para
comunicaciones. Se encuentra normalizado de acuerdo a la norma
estadounidense TIA/EIA-568-B y a la internacional ISO-11801.
La Biblioteca de Infraestructura de Tecnologías de Información,
frecuentemente abreviada ITIL (del inglés Information Technology
Infrastructure Library), es un marco de trabajo de las buenas prácticas
destinadas a facilitar la entrega de servicios de tecnologías de la información
(TI). ITIL resume un extenso conjunto de procedimientos de gestión ideados
para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI.
Es un acuerdo de nivel de servicio o Service Level Agreement, también
conocido por las siglas SLA, es un contrato escrito entre un proveedor de
servicio y su cliente con objeto de fijar el nivel acordado para la calidad de
dicho servicio.
Un acuerdo de nivel operacional (OLA) define las relaciones interdependientes
entre los grupos de apoyo interno de una organización que trabaja para
apoyar un acuerdo de nivel de servicio (SLA). El acuerdo define las
responsabilidades de cada grupo de apoyo interno hacia otros grupos de
apoyo, incluido el proceso y el calendario para la entrega de sus servicios.

20

21
Punto de
Es un lugar geográfico donde 2 redes se interconectan e intercambiar tráfico,
Interconexión (POI) comúnmente una red es del proveedor y la otra es del cliente, aunque también
se da entre proveedores.
]]

Contacto
? Sobre la presente Arquitectura: Erick Rubén Galvez Ramirez, erick.galvez@sat.gob.mx
? Sobre la presente Arquitectura: Daniel Zamora Villalobos, daniel.zamora@sat.gob.mx
? Sobre su publicación en el MTR: Isaac Flores Lira,isaac.flores@sat.gob.mx
? Sobre su publicación en el MTR: Ivan Hernandez Garcia,ivan.garcia@sat.gob.mx

21