Anexo Técnico 
Firewall Virtual VMware vShield Edge sobre servicio de Servidor Virtual 
 
 
Descripción general 
Metrotel, a través de su servicio de Firewall Virtual VMware vShield Edge le proporciona seguridad integrada de manera rápida y económica, sin 
que esto implique necesariamente una inversión en equipamiento propio. 
 
La  solución  Firewall  Virtual  VMware  vShield  Edge  se  ofrece  como  servicio  complementario  a  los  Servidores  Virtuales  de  Metrotel  o  sobre 
soluciones de  servidores físicos alojados en el Datacenter de Metrotel y que requieran comunicación contra la infraestructura virtual. 
Dicha  solución  tendrá  como  finalidad  bloquear  el  acceso  no  autorizado  a  la  plataforma  del  cliente  y  al  mismo  tiempo  permitir  las 
comunicaciones  autorizadas  según  el  criterio  que  se  desee.  Además  de  proveer    la  capacidad  para  armar  túneles  VPN  site  to  site  o  cliente 
remoto. 
 
Todas las configuraciones necesarias y la puesta en marcha del servicio Firewall Virtual VMware vShield Edge estarán bajo la supervisión, manejo 
y administración de personal especializado de Metrotel. 
 
Características de la solución 
 Prevención de ataques a la red. 
 Posibilidad de brindar un acceso granular y controlado  a cada uno de los usuarios de acuerdo a perfiles predefinidos por el cliente. 
 Políticas de control del tráfico entrante y saliente a la red del cliente. 
 Garantizar que la información confidencial que se envía (por un medio público) esté encriptada y autenticada. 
 Favorece  al incremento en la productividad debido a que permite restringir las aplicaciones y los sitios de navegación en Internet. 
 Fácil implementación. 
 Definición y configuración de políticas de seguridad. 
 Firewall con inspección StateFul, con reglas de control sobre conexión entrantes y salientes, en base a los siguientes parámetros: 
o Dirección IP / origen destino ‐ dirección IP 
o Puertos ‐ fuente / puerto de destino 
o Protocolo ‐ Tipo (TCP o UDP) 
 Traducción de direcciones de Red 
o Traducción de direcciones IP desde y hacia el entorno virtual. 
 Site‐to‐Site VPN 
o Comunicación segura entre dos sitios. 
o Soporte    IPsec  para  la  autenticación  de  certificados,  así  como  clave  compartida,  basada  en  el  intercambio  de  claves  de 
Internet (IKE) 
 Load Balancing 
o Balanceo de carga para todo el tráfico entrante incluido el tráfico Web (HTTP) 
o Algoritmo Round‐robin 
 No soporta QoS 
 Soporta SSL VPN para usuarios remotos 
 

Alcance y especificación técnica 
La  solución  se  encuentra  configurada  sobre  la  plataforma  virtual  que  posee  Metrotel,  dando  acceso  segurizado  desde  el  exterior  a  la 
infraestructura virtual que el cliente contrate.  
Los servicios contratados corren sobre la versión ESXi 6.0 de VMware.  
 
En el momento de la puesta en marcha el cliente deberá informar,  mediante documentación, la topología de conexión entre los componentes 
de la solución y los puertos que estarán permitidos y cuales denegados. 
Una  vez  realizada  la  configuración  inicial  el  cliente  podrá  requerir  hasta  1  (una)    modificación  de  reglas  por  mes,  dichas  tareas  podrán  ser 
requeridas en el horario de 9:00 AM a 18:00 PM de lunes a viernes (días hábiles) mediante el ingreso de un ticket en el área de soporte técnico 
de Metrotel. 
Metrotel se encargara de la administración del Firewall Virtual VMware vShield Edge. 
 
La  solución  está  preparada  para  soportar  hasta  400  Mbps  de  ancho  de  banda  dedicados,  si  el  cliente  tuviese  la  necesidad  de  aumentar  la 
cantidad de Servidores Virtuales y/o el ancho de banda contratado, podrá requerirlo a Metrotel, previo análisis y factibilidad  técnica y deberá 
elaborarse un nuevo alcance  técnico de la solución.  
Metrotel informara al cliente el impacto técnico y/o económico. 
 
Se contempla una (1) conexión física entre el Firewall Virtual VMware vShield Edge y los servidores físicos alojados en el Datacenter de Metrotel. 
En caso de requerir otras cruzadas, con otros servicios alojados en el Datacenter de Metrotel, se deberá contratar como servicio adicional. 
 
Se podrá solicitar  el  alta de hasta 5 usuarios para la conexión remota  a través de SSL VPN PLUS con la contratación del servicio. En caso de 
requerir más usuarios remotos, los mismos tendrán un costo adicional. 
 
Se podrá solicitar el armado de dos (2) túneles VPN IPsec site‐to‐site con la contratación del servicio. En caso de requerir más túneles VPN IPsec 
site‐to‐site, los mismos tendrán un costo adicional. 
 
Como administrador del Firewall Virtual VMware vShield Edge, Metrotel pondrá a disposición del cliente las características que se abalan para la 
configuración del túnel IPsec site‐to‐site. 
La configuración del túnel IPsec en el extremo del cliente queda bajo su responsabilidad. Metrotel no brindará soporte técnico para el armado 
de túneles VPN IPsec. Solamente se limitará a colaborar en las pruebas de troubleshooting en caso de presentarse fallas durante el armado.  
 

Características del túnel IPsec site‐to‐site soportado por Metrotel 
IKE Phase 1 parámetros utilizados por vCNS Edge 
 Main mode 
 AES/ AES 256 Preferred/ TripleDES / 
 SHA‐1 
 MODP (DH) group 2 (MODP1024 bits) 
 pre‐shared secret [Configurable] 
 SA lifetime of 28800 seconds (eight hours) with no kbytes rekeying 
 ISAKMP aggressive mode disabled 
 
IKE Phase 2 parámetros utilizados por vCNS Edge 
 AES/ AES 256 Preferred/ TripleDES /[Will match the Phase 1 setting] 
 SHA‐1 
 ESP tunnel mode 
 MODP (DH) group 2 (MODP1024 bits) 
 Perfect forward secrecy for rekeying 
 SA lifetime of 3600 seconds (one hour) with no kbytes rekeying 
 Selectors for all IP protocols, all ports, between the two networks, using IPv4 subnets 
 
Nota: Cualquier  tipo de modificación a realizar queda sujeta a criterio de Metrotel. 
 
 
Límite máximo del servicio Firewall Virtual VMware vShield Edge 
 
 
Number of interfaces  10
Number of firewall rules  2,000 
Number of NAT rules  2,000
Number of DHCP static bindings  25 
Number of DHCP pools  10 
Number of static routes 100
Number of load balancer pools  3 (Hard limit: 64) 
Number of load balancer virtual servers 3 (Hard limit: 64)
Number of members per load balancer pool  10 (Hard limit: 32) 
Concurrent IPSec VPN Tunnels 64
Concurrent SSL VPN Tunnels  25 (Compact), 100 (Large) 
 

Soporte técnico 
Ubicado físicamente en la ciudad de Buenos Aires, el servicio de soporte técnico de Metrotel funciona las 24 horas del día, los 365 días del año. 
Para  acceder  al  mismo,  el  cliente  dispone  de  un  número  gratuito  de  contacto  (0800‐362‐1040)  mediante  el  cual  podrá  realizar  la  gestión  de 
eventuales reclamos. Desde la Mesa de Ayuda se realiza el diagnóstico para aislar la falla. Una vez identificada la misma, se procederá a realizar 
su  inmediata  resolución.  El  cliente  será  informado,  ya  sea  por  teléfono  y/o  mail,  del  estado  y  avance  de  la  falla  en  particular,  durante  la 
existencia de la misma. 
 
 
Mantenimiento programado 
El mantenimiento programado consistirá en toda intervención realizada en la red de Metrotel, la cual será notificada previamente (con más de 
48 horas de anticipación) al cliente y se realizará dentro del horario de mantenimiento establecido. Si el horario del corte previsto afecta la labor 
del  cliente,  éste  puede  solicitar  la  modificación  del  mismo.  Metrotel  se  compromete  a  realizar  los  máximos  esfuerzos  para  mover  el  corte  al 
nuevo horario solicitado. Este tipo de interrupciones se puede realizar para reemplazar o agregar elementos a la red a fin de ampliar y mejorar 
permanentemente el servicio. 
 
 
 
 
 
 
 
 
 
 
 
 

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐    ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐    ‐‐‐‐‐‐‐‐‐‐/‐‐‐‐‐‐‐‐‐‐‐‐‐/‐‐‐‐‐‐‐‐‐‐‐ 

                Firma                                                            Aclaración                                                                                               Fecha