Tesis SDWAN Ducca

PROYECTO FINAL DE INGENIERÍA
IMPACTO TECNOLÓGICO EN LA UTILIZACIÓN DE LAS REDES WAN,

DEFINIDAS POR SOFTWARE
Ducca, Mariano – LU1029786
Ingeniería en Telecomunicaciones
Tutor:
Ing. Fernando Ramiro Abad
2019
UNIVERSIDAD ARGENTINA DE LA EMPRESA

FACULTAD DE INGENIERÍA Y CIENCIAS EXACTAS
Impacto tecnológico en la utilización de redes las WAN,
definidas por software
Mariano Ducca
Resumen
El presente trabajo tiene como objetivo analizar cuales son los beneficios que tienen las
redes definidas por software, y en particular, los beneficios de las redes WAN definidas por
software.
Las redes WAN tradicionales presentan configuraciones estáticas, son difíciles de

gestionar y tienen una escasa visibilidad de lo que realmente esta sucediendo en la red.
Actualmente, el problema que tienen las empresas es que contratan más de un enlace para poder
tener redundancia, pero el segundo vínculo casi nunca es utilizado ya que sirve como reemplazo
en caso de falla del enlace primario. Sin embargo, el operador cobra el servicio de ambos
enlaces.
Para resolver esta problemática de las redes WAN, se propone una nueva solución
tecnológica llamada SD-WAN (Software Defined WAN) que tiene como principal beneficio
reducir los costos operativos de las empresas, simplificar la gestión de la red, mejorar el uso de
los recursos y aumentar la seguridad.
Este trabajo de investigación contiene un informe de los costos que tienen en la

actualidad al menos dos empresas en sus redes, los costos que tendrían estas mismas empresas
al utilizar SD-WAN como cambio de enfoque tecnológico, y como SD-WAN mejora el
rendimiento de las aplicaciones de cada negocio y las hace mas ágiles.
Página 1 de 78
Mariano Ducca
Abstract
The objective of this paper is to analyze which are the benefits of software-defined
networking, and in particular, analyze which are the benefits of using software-defined WAN.
Traditional WAN have static configurations, are difficult to manage, and have poor
visibility of what is happening in the network. Currently, the problem that companies have is
that they have more than one link in order to have redundancy, meanwhile, the secondary link
is almost never used as it serves as a replacement in case of primary link failure. However, the
service provider charges the service for both links.
To solve WAN network’s problems, a new technological solution called SD-WAN

(Software Defined WAN) is proposed. Its main benefit is to reduce the operating costs, simplify
network management, improve resource utilization and increase security.
This research paper contains an analysis of the costs that two companies have in their
networks, the costs that these same companies would have when using SD-WAN, and how
SD-WAN improves the performance of applications and makes them more agile.
Página 2 de 78
Mariano Ducca
Agradecimientos
En primer lugar, me gustaría agradecer a toda la gente que me acompañó a lo largo de

este tiempo, en especial a mi familia por apoyarme en los momentos mas difíciles de la carrera
donde se puso muchas veces en duda la posibilidad de seguir adelante.
En segundo lugar, me gustaría agradecerle a mi novia por haberme acompañado y

apoyado en las últimas materias de la carrera y por haberme ayudado a seguir adelante siempre
con las materias mas difíciles.
En tercer lugar, agradecer a todo el grupo de estudio y grupo de amigos que desde un
principio fueron un gran apoyo.
Este proyecto final representa el cierre de ciclo de una etapa y también el comienzo de
una nueva en el desarrollo del ámbito profesional.
Página 3 de 78
Mariano Ducca
Índice de Contenidos
Resumen ............................................................................................................................................. 1
Abstract ............................................................................................................................................... 2
Índice de figuras ................................................................................................................................. 6
Índice de tablas ................................................................................................................................... 7
Glosario............................................................................................................................................... 8
CAPITULO I ............................................................................................................................. 9
1 Antecedentes .................................................................................................................................... 9
1.1 Arte previo .................................................................................................................................... 9
1.2 Estado del arte ............................................................................................................................ 11
CAPITULO II .......................................................................................................................... 14
2 Marco teórico ................................................................................................................................. 14
2.1 Red WAN ................................................................................................................................... 14
2.1.1 Servicios en una red WAN ...................................................................................................... 15
2.1.1.1 Servicios del lado del hogar .................................................................................................. 15
2.1.1.2 Servicios del lado del operador............................................................................................. 18
2.1.2 Cálculo de conexiones de control ............................................................................................ 19
2.2 Componentes de una red WAN .................................................................................................. 20
2.2.1 Router ...................................................................................................................................... 20
2.2.2 Switch ...................................................................................................................................... 21
2.2.3 DSLAM ................................................................................................................................... 21
2.2.4 Módem xDSL .......................................................................................................................... 22
2.3 Topologías en Redes WAN ........................................................................................................ 22
2.3.1 Hub and Spoke ......................................................................................................................... 22
2.3.2 Mesh ........................................................................................................................................ 23
2.4 ¿Qué es una VPN? ...................................................................................................................... 24
2.4.1 ¿Qué es una VPN punto a punto? ............................................................................................ 24
2.4.2 Protocolo Auto-VPN de Cisco Meraki .................................................................................... 25
2.5 Topologías VPN ......................................................................................................................... 28
2.6 Cisco Meraki MX ....................................................................................................................... 30
2.6.1 Funcionalidades del UTM Cisco Meraki ................................................................................. 31
2.6.2 ¿Qué es un UTM? .................................................................................................................... 32
2.7 SDN – Software Defined Networking ........................................................................................ 33
2.7.1 Arquitectura SDN .................................................................................................................... 33
Página 4 de 78
Mariano Ducca
2.7.2 SD-WAN ................................................................................................................................. 34

2.7.3 Arquitectura SD-WAN ............................................................................................................ 35
2.7.4 Conceptos esenciales de SD-WAN ......................................................................................... 36
2.7.5 Flujograma de toma de decisiones ........................................................................................... 38
CAPITULO III ......................................................................................................................... 48
3.1 Marco Regulatorio ............................................................................................................. 48
CAPITULO IV......................................................................................................................... 52
4.1 Infraestructura actual de las empresas ............................................................................... 52
4.1.2 Ecogas – Distribuidora de gas del centro ........................................................................ 53
4.1.3 Importante entidad bancaria ............................................................................................ 62
CAPITULO V .......................................................................................................................... 69
5.1 Conclusión ......................................................................................................................... 69
5.2 Bibliografía ........................................................................................................................ 70
ANEXO A................................................................................................................................ 73
Datasheets de equipos .............................................................................................................. 73
Página 5 de 78
Mariano Ducca
Índice de figuras
Figura 1: Conectividad entre dos sitios ...................................................................................... 9
Figura 2: Conectividad entre dos sitios con un enlace caído ................................................... 10
Figura 3: Cuadrante mágico de Gartner para proveedores de redes WAN.............................. 12
Figura 4: Aumento del tráfico IP ............................................................................................. 13
Figura 5: Aumento de adopción de tecnologías SaaS .............................................................. 13
Figura 6: Esquema de una red WAN ....................................................................................... 14
Figura 7: Servicios ofrecidos en una red WAN ....................................................................... 15
Figura 8: Cable Network (CATV) ........................................................................................... 16
Figura 9: DSL – Digital Subscriber Line ................................................................................. 16
Figura 10: Leased Lines ........................................................................................................... 18
Figura 11: Ejemplo de una red MPLS ..................................................................................... 19
Figura 12: Routers Cisco de la familia ISR 4300 .................................................................... 21
Figura 13: Switches Cisco de la familia Catalyst 9300 ........................................................... 21
Figura 14: DSLAM .................................................................................................................. 22
Figura 15: Módem ADSL ........................................................................................................ 22
Figura 16: Topologías de redes WAN ..................................................................................... 23
Figura 17: Configuración típica para una VPN punto a punto ................................................ 24
Figura 18: Esquema de configuración en alta disponibilidad .................................................. 29
Figura 19: Familia de UTM Cisco Meraki MX ....................................................................... 30
Figura 20: Funcionalidades del UTM de Meraki comparada con equipos equivalentes ......... 32
Figura 21: Esquema de conexión de una arquitectura SDN .................................................... 33
Figura 22: Tráfico de SD-WAN global [Exabytes por mes] ................................................... 34
Figura 23: Arquitectura de una red SD-WAN ......................................................................... 35
Figura 24: Configuración de política en Meraki ...................................................................... 45
Figura 25: Precio del UTM de Meraki ..................................................................................... 54
Figura 26: Precio de las licencias de los UTM de Meraki ....................................................... 55
Figura 27: Arquitectura sin SD-WAN ..................................................................................... 56
Figura 28: Arquitectura con SD-WAN .................................................................................... 58
Figura 29: Esquema actual de conectividad en cada sucursal ................................................. 62
Figura 30: Nuevo esquema propuesto para cada sucursal ....................................................... 62
Figura 31: Plan de migración de infraestructura para cada sucursal ....................................... 63
Página 6 de 78
Mariano Ducca
Índice de tablas
Tabla I: Conexiones asimétricas .............................................................................................. 17
Tabla II: Conexiones simétricas............................................................................................... 17
Tabla III: Modelos de equipos ................................................................................................. 53
Tabla IV: Costo de equipamiento en pesos argentinos y en dólares........................................ 54
Tabla V: CAPEX de Meraki .................................................................................................... 55
Tabla VI: Etapas de inversión del cliente ................................................................................ 55
Tabla VII: Precios de enlaces de internet y MPLS .................................................................. 56
Tabla VIII: OPEX sin SD-WAN ............................................................................................. 57
Tabla IX: Arrendamiento de equipos y mantenimiento de MPLS .......................................... 57
Tabla X: OPEX con SD-WAN ................................................................................................ 58
Tabla XI: Análisis del primer año ............................................................................................ 59
Tabla XII: Análisis del segundo año ........................................................................................ 60
Tabla XIII: Análisis del tercer año y ahorro anual .................................................................. 61
Tabla XIV: CAPEX de cada sucursal interbancaria ................................................................ 63
Tabla XV: CAPEX del nodo central ........................................................................................ 64
Tabla XVI: Etapas de inversión del banco .............................................................................. 64
Tabla XVII: OPEX mensual del banco .................................................................................... 65
Tabla XVIII: OPEX mensual del banco sin SD-WAN ............................................................ 65
Tabla XIX: OPEX mensual del banco con SD-WAN ............................................................. 65
Tabla XX: Análisis del primer año .......................................................................................... 66
Tabla XXI: Análisis del segundo año ...................................................................................... 67
Tabla XXII: Análisis del tercer año y ahorro de costos anual ................................................. 68
Página 7 de 78
Mariano Ducca
Glosario
ADSL Asymmetrical Digital Suscriber Line

CAPEX Capital Expenditures
CATV Community Antenna Television
CIPA Children’s Internet Protection Act
CPE Customer Premises Equipment
DHCP Dynamic Host Control Protocol
DSLAM Digital Suscriber Line Access Multiplexor
HDSL High-Speed Digital Suscriber Line
IDS Intrusion and Detection System
IDSL ISDN Digital Suscriber Line
ISDN Integrated Services Digital Network
IKE Internet Key Exchange
IP Internet Protocol
IPS Intrusion and Prevention System
IPSEC Internet Protocol Security
LAN Local Area Network
MPLS Multi-Protocol Label Switching
NAT Network Address Translation
OPEX Operational Expenditures
PSTN Public Switched Telephone Network
QOS Quality of Service
RADSL Rate Adaptive Digital Suscriber Line
SAAS Software as a Service
SDSL Symmetric Digital Suscriber Line
UTM Unified Threat Management
VDSL Very-High Digital Suscriber Line
VPN Virtual Private Network
VRF Virtual Routing and Forwarding
Página 8 de 78
Mariano Ducca
CAPITULO I
1 Antecedentes
1.1 Arte previo
En el último tiempo las empresas argentinas han ido creciendo según las necesidades del
mercado, tanto en sucursales y cantidad de empleados, como en la tecnología que utilizan en
el día a día para mejorar su producción o automatizar procesos. En la actualidad, las empresas
tienen varios sitios conectados entre sí, y por lo general el esquema de conexión es hacia un
data center. Las conexiones entre las sucursales suelen ser a través de enlaces MPLS y,
dependiendo de la criticidad de cada sitio, también se suele contratar un enlace secundario para
tener redundancia en caso de una falla.
Contratación de conectividad entre dos sitios:
Figura 1: Conectividad entre dos sitios
El cliente contrata un enlace directo “A” hacia el data center y otro enlace secundario
“B”, generalmente uno esta activo y el otro se encuentra pasivo. Es decir, la conectividad es
siempre A o B, pero a la hora de hacer el cobro el proveedor de servicios cobra los dos enlaces
por mas que se utilice uno solo.
Página 9 de 78
Mariano Ducca
Comportamiento de un router cuando hay un enlace activo y un enlace de

backup:
Figura 2: Conectividad entre dos sitios con un enlace caído
Cuando se tienen dos enlaces y el enlace primario deja de funcionar, automáticamente

se conmuta todo el tráfico al enlace secundario. Si el enlace no se encuentra caído pero la
calidad de servicio en el mismo se ve degradada por factores adversos como congestión en la
red, latencia o retardos, el router encuentra el desafío de discernir entre conservar ese enlace o
conmutar al otro.
Cuando se tienen dos enlaces conectados a un mismo router y uno de ellos esta
funcionando en modo pasivo, lo que normalmente sucede es que se va a seguir enviando tráfico
por este enlace por mas que se encuentre degradado y ahí es cuando comienzan los problemas
en la red y quejas de los usuarios finales: lentitud en los sistemas de las empresas, pérdidas de
paquetes en la telefonía IP, pérdidas de paquetes para establecer una llamada con video, etc.
Los Routers actuales no son capaces de detectar este problema, y el proveedor de

servicio no se hace cargo a la hora de las quejas del usuario ya que en realidad el enlace no este
caído, pero el cliente perdió horas para descubrir el problema.
Página 10 de 78
Mariano Ducca
Navegación hacia internet en una red MPLS:
El cliente tiene un data center y una sede remota, cuando quiere navegar hacia internet
le pide al proveedor de servicios que genere una VRF1 (Virtual Routing and Forwarding) y la
direccione hacia su sede remota para luego desde allí poder salir a internet. Lo que ocurre en
realidad, es que se está utilizando un tráfico mucho más económico a través de un medio
dedicado muy costoso que es MPLS. Una vez que se navega por fuera del data center no se
tiene control, calidad de servicio, ni visibilidad de lo que realmente sucede. Este análisis pone
en discusión si es conveniente desde un punto de vista de costo/económico o si en realidad
conviene contratar un vínculo de internet dedicado para poder salir de cada sitio distribuido.
1.2 Estado del arte
Una vez planteado el problema que actualmente tienen las empresas para poder
administrar y gestionar sus redes, está claro que tiene que existir una solución que permita
escalar a futuro de una manera mucho mas eficiente, simple y económica.
Se propone como solución para esta problemática una evolución en la arquitectura de

una red tradicional WAN: SD-WAN o también conocido como redes de área amplia definidas
por software. Si bien existen muchas marcas que ofrecen esta tecnología, en este trabajo se va
a analizar cual es la solución que propone Cisco, como líder del mercado en la oferta de redes
WAN.
A continuación, en la figura 3 se puede ver el último reporte que realizo Gartner acerca de los
proveedores de tecnología en el segmento de redes WAN.
1
https://tools.ietf.org/html/rfc4364
Página 11 de 78
Mariano Ducca
Figura 3: Cuadrante mágico de Gartner para proveedores de redes WAN
En el cuadrante mágico de Gartner se analiza dentro del mercado de tecnología

diferentes aspectos relacionados a la innovación, visión a futuro y competitividad. Este reporte
se posiciona a Cisco como líder en este segmento por sobre sus principales competidores que
son VMware y Silver Peak.
Para comenzar a hablar de una arquitectura SD-WAN es importante que se entienda el

contexto tecnológico en donde nos encontramos actualmente y porque va a ser crucial e
importante en un futuro no tan lejano la implementación de esta tecnología.
Página 12 de 78
Mariano Ducca
Como se puede ver en la figura 4, se observa la progresión de aumento del tráfico IP

que consumen las empresas desde el data center hacia el resto de las sucursales. El motor que
impulsa esto es la adopción de nuevas tecnologías, que requieren cada vez más ancho de banda.
Figura 4: Aumento del tráfico IP
Por otro lado, es interesante también ver como las empresas van adoptando cada vez
mas y con mayor facilidad las aplicaciones SaaS, es decir cualquier suscripción de software en
la nube. Las proyecciones muestran que para los próximos 4 años va a haber un aumento en la
adopción mayor al 30%.
Figura 5: Aumento de adopción de tecnologías SaaS
Página 13 de 78
Mariano Ducca
CAPITULO II
2 Marco teórico
2.1 Red WAN
Las redes WAN a diferencia de las redes de área local (LAN) sirven para interconectar
regiones geográficas que están muy distantes entre sí. A diario se utilizan las redes WAN para
intercomunicar países, ciudades e incluso continentes.
Figura 6: Esquema de una red WAN
Una desventaja de las redes WAN si las comparamos con una red de área local es que
son muchísimo mas lentas en comparación y, además, son muy costosas ya que se requiere de
un alto gasto de OPEX mensual para mantenerlas; esto se debe a que los proveedores de
servicio son dueños de la red WAN y el usuario tiene que pagar un abono mensual para hacer
uso de estos servicios. De hecho, a medida que se requiere mayor velocidad y mayor ancho de
banda es mas cara la factura que tiene que pagar.
En la figura 7 se puede observar los diferentes tipos de servicios que existen en una red
WAN, los servicios en verde son los que comúnmente se utilizan en el hogar y los servicios
en rojo son los brindados por el operador y son aquellos que van a ser utilizados por las
empresas que necesitan conectar sus oficinas de casa central con sus oficinas remotas.
Página 14 de 78
Mariano Ducca
Figura 7: Servicios ofrecidos en una red WAN
2.1.1 Servicios en una red WAN
2.1.1.1 Servicios del lado del hogar
CATV
En la figura 8 se puede apreciar y entender aquellos componentes que están del lado del
hogar (Cable Splitter, Cable Modem, Router) y aquellos componentes que se encuentran del
lado del proveedor der servicios: nodos, anillos de fibra, proveedores de televisión por cable,
la red pública conmutada de telefonía o PSTN e internet.
Página 15 de 78
Mariano Ducca
Figura 8: Cable Network (CATV)
Líneas xDSL
En el caso de una red de banda ancha el abonado posee en su hogar un módem ADSL
y un router. Los servicios que utiliza son los de telefonía e internet. Del lado del operador de
servicios existe un componente que se llama DSLAM cuya función es conectar los hogares con
la red pública conmutada de telefonía e internet.
Figura 9: DSL – Digital Subscriber Line
Página 16 de 78
Mariano Ducca
El acrónimo de xDSL viene dado por sus siglas en inglés y significa línea de abonado
digital. Las conexiones DSL se dividen en dos grupos: simétricos y asimétricos; por este
motivo, se denota con la letra “x” para hacer distinción de todas las clasificaciones.
Tabla I: Conexiones asimétricas

Fuente: Wikipedia
Tabla II: Conexiones simétricas

Fuente: Wikipedia
Las líneas más utilizadas actualmente en el mercado son las ADSL y VDSL, sin
embargo, las empresas también utilizan las líneas HDSL ya que permiten velocidades de
conexión mucho mas altas.
Página 17 de 78
Mariano Ducca
2.1.1.2 Servicios del lado del operador
Líneas punto a punto
Este es el servicio que utilizan las empresas, donde el abonado contrata una línea que
posee una muy alta disponibilidad, las 24 horas, los 7 días de la semana y que puede utilizar el
ancho de banda que necesite ya que está exclusivamente dedicada. Las desventajas son que se
torna muy complejo escalar a medida que se agregan mas oficinas remotas y que tiene un costo
de mantenimiento mensual muy alto, ya que se tiene que pagar más a medida que se agregan
más líneas.
Figura 10: Leased Lines
MPLS
MPLS es un protocolo para incrementar la velocidad y brindar una red privada para el
cliente. Actualmente es el protocolo mas utilizado en redes WAN ya que ofrece grandes
ventajas como flexibilidad, escalabilidad, y avanzados parámetros de calidad de servicio
(QoS).
La arquitectura del protocolo se divide en dos elementos fundamentales: los

componentes de envío y los componentes de control. Los primeros utilizan una base de datos
Página 18 de 78
Mariano Ducca
de etiquetas mientras que los componentes de control son responsables de crear y mantener la
información de envío de etiquetas entre un grupo de switches interconectados entre sí.
Si bien es uno de los protocolos mas utilizados en el mercado, se trata también del
servicio mas caro ya que la infraestructura que tienen los proveedores de servicio es muy
costosa de mantener y se traslada parte de este costo al abonado que contrata el servicio.
Figura 11: Ejemplo de una red MPLS
2.1.2 Cálculo de conexiones de control
La cantidad de conexiones de control viene definida por la ley de Metcalfe, que

establece que el valor de una red de telecomunicación aumenta proporcionalmente al cuadrado
del número de usuarios del sistema.
Su calculo se reduce al número de aristas de un grafo completo de n vértices:
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 ∗ (𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 − 1)

𝐶𝑜𝑛𝑒𝑥𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙 =
2
Página 19 de 78
Mariano Ducca
Suponiendo un cliente que tiene 8 sitios para interconectar:
8 ∗ (8 − 1)
2
𝐶𝑜𝑛𝑒𝑥𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙 = 28
Ahora si el cliente tiene 100 sitios:
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 ∗ (𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 − 1)

2
100 ∗ (100 − 1)
2
𝐶𝑜𝑛𝑒𝑥𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙 = 4500
Es evidente que la complejidad de conexiones a medida que aumentan la cantidad de

sucursales es exponencial. En este punto es cuando al proveedor de servicios se le hace
compleja la administración y realizar un cambio o modificaciones/configuraciones en la red se
torna una tarea imposible.
2.2 Componentes de una red WAN
2.2.1 Router
El router o enrutador es un componente esencial en una red WAN ya que es el

encargado de intercomunicar diferentes redes entre sí. Un router utiliza direcciones IP para
transmitir paquetes desde una fuente a un destino dado. Todos los dispositivos conectados en
una red tienen una identificación única e irrepetible llamada dirección IP, el router posee una
tabla interna con la información necesaria para saber como realizar la conexión entre una
dirección de IP de origen con la dirección de IP de destino.
Página 20 de 78
Mariano Ducca
Figura 12: Routers Cisco de la familia ISR 4300
2.2.2 Switch
Un switch o conmutador es el componente mas utilizado en redes de área local (LAN),

y su importancia viene dada ya que es utilizado para conectar todos los dispositivos de red
entre sí. Los switches, al igual que los Routers, poseen tablas internas con la información de
cada dispositivo conectado y se encargan de transmitir a través de la red la información que un
dispositivo A quiere enviarle a un dispositivo B.
Figura 13: Switches Cisco de la familia Catalyst 9300
2.2.3 DSLAM
El DSLAM (Digital Subscriber Line Access Multiplexor) es un dispositivo que

interconecta todas las líneas de par de cobre de los abonados con el data center del operador
del servicio, ya sea telefonía o internet. El DSLAM divide el tráfico de la voz humana del
tráfico de internet.
Página 21 de 78
Mariano Ducca
Figura 14: DSLAM
2.2.4 Módem xDSL
Un componente esencial en una red WAN, si bien se encuentra en el sitio del abonado,
es el módem xDS. Se utiliza como punto de conexión dentro del hogar y de esta forma se
accede a los servicios de telefonía e internet. La mayoría de los modelos actuales que los
operadores ofrecen también son inalámbricos, como se puede ver en la figura 15.
Figura 15: Módem ADSL
2.3 Topologías en Redes WAN
Existen dos topologías de conexión en redes WAN: Hub & Spoke y Full Mesh.
2.3.1 Hub and Spoke
En una configuración hub & spoke, los dispositivos de seguridad de las sucursales y
oficinas remotas se conectan directamente a firewalls específicos y no formarán túneles a otros
dispositivos miembros de la organización. La comunicación entre sitios de sucursales u
Página 22 de 78
Mariano Ducca
oficinas remotas está disponible a través de los concentradores VPN configurados. Esta es la
topología VPN recomendada para la mayoría de las implementaciones SD-WAN en el mercado
actualmente.
2.3.2 Mesh
También es posible utilizar una configuración del tipo "malla" en una implementación
SD-WAN. En una configuración de malla, un dispositivo de seguridad en la sucursal u oficina
remota está configurado para conectarse directamente a cualquier otro firewall de la
organización que también esté en modo de malla, así como a cualquier otro dispositivo que
esté configurado para usarse como concentrador.
Figura 16: Topologías de redes WAN
En los esquemas del tipo Full Mesh, la particularidad es que el operador para construir este
esquema de “todos contra todos” debe tener en cuenta las conexiones de control.
Página 23 de 78
Mariano Ducca
2.4 ¿Qué es una VPN?
La mayoría de las organizaciones que buscan proporcionar a los trabajadores remotos

el acceso desde su casa a los recursos de la empresa utilizan las redes privadas virtuales (VPN).
Las VPN son túneles cifrados que permiten la transferencia segura y confidencial de los datos
a través de una infraestructura pública no segura, normalmente Internet.
2.4.1 ¿Qué es una VPN punto a punto?
Una de las implementaciones más comunes de VPN es establecer una conexión punto
a punto, donde una ubicación que hospeda recursos de la red está conectada de forma segura a
través de VPN a otra ubicación.
Figura 17: Configuración típica para una VPN punto a punto
Las VPN punto a punto se implementan entre los dispositivos de seguridad/firewalls de

cada ubicación. Los usuarios que se conectan detrás de estos firewalls no necesitan tener
ningún software instalado o configuraciones locales en sus dispositivos para permitirles enviar
o recibir datos con los demás sitios. La conexión entre ambos se logra estableciendo un túnel
IPsec2, uno de los mecanismos mas seguros actualmente para establecer una VPN.
2
https://tools.ietf.org/html/rfc6071#page-6
Página 24 de 78
Mariano Ducca
La versión actual del protocolo, IPsec v3, permite que toda la información que se envía a través
de internet se encuentre de principio a fin cifrada y encriptada sin poder ser vulnerada ante un
eventual ataque de seguridad.
Complejidad en la administración de una red VPN:
En una arquitectura tradicional, la complejidad de configurar y administrar VPN crece

de manera exponencial a medida que aumenta el número de sitios distribuidos como ya fue
previamente detallado. Esto se debe a que ambos extremos de cada túnel VPN necesitan ser
creados y ajustados manualmente mediante líneas de comando complejas. Este proceso es lento
y vulnerable a cometer errores humanos: direcciones IP de ambas interfaces en cada firewall,
una clave o certificado previamente compartido, protocolos de autenticación y cifrado, una
lista de subredes exportables, etc.
2.4.2 Protocolo Auto-VPN de Cisco Meraki
Meraki posee su propio protocolo para establecer un túnel VPN de un sitio al otro y la
diferencia esencial con respecto al resto de las marcas que también hacen lo mismo es la
facilidad para realizarlo.
Para habilitar el protocolo de auto VPN, la nube de Cisco Meraki actúa únicamente
como un intermediario entre el firewall que pertenece a una organización y realiza todo el
proceso de manera automática: negocia las rutas VPN, hace el intercambio de claves y
establece el protocolo de encriptación y autenticación.
Página 25 de 78
Mariano Ducca
El proceso para crear un túnel VPN mediante el protocolo de Meraki es el siguiente:
1) Dentro de la configuración del UTM de Meraki se selecciona la opción de “site-to-site

VPN”.
2) Seleccionar la topología que se quiera utilizar
Página 26 de 78
Mariano Ducca
3) Si se selecciona, por ejemplo, la opción de concentrador o “Hub”, de forma automática

aparecen todos los demás firewalls dentro de la organización para ser seleccionados.
4) Si se selecciona, por ejemplo, la opción de “Spoke”, sucede lo mismo que en el caso

anterior
5) Una vez que se haya seleccionado cual es la topología que se quiera utilizar,
simplemente se guardan los cambios y de forma automática se establece el túnel VPN.
Página 27 de 78
Mariano Ducca
2.5 Topologías VPN
Existen varias topologías de VPN, pero las más típicas son Hub & Spoke y Full Mesh.
A continuación, se detallarán alguna de ellas.
Split Tunnel
En esta configuración, las sucursales solo enviarán tráfico a través de la VPN si está
destinada a una subred específica que está siendo anunciada por otro firewall dentro de la
misma organización. El tráfico restante se comprobará contra otras rutas disponibles, como
rutas LAN estáticas y rutas VPN de terceros.
Full Tunnel
En el modo de túnel completo, todo el tráfico al que la sucursal u oficina remota no

tiene otra ruta se envía a un concentrador de túneles VPN.
Datacenter Redundancy (DC-DC Failover)
La implementación de uno o más firewalls para actuar como concentradores VPN en

data centers adicionales proporciona una mayor redundancia para los servicios de redes
críticos. En una configuración de data center dual o múltiple, se pueden anunciar subredes
idénticas desde cada data center con un modo de concentrador.
En un diseño de conmutación por error de DC-DC, un sitio radial formará túneles VPN
a todos los concentradores VPN configurados para ese sitio. Para las subredes que son únicas,
el tráfico se direccionará directamente a ese concentrador siempre y cuando los túneles entre
el spoke y el hub se establezcan con éxito. Para las subredes que se anuncian desde varios
concentradores, los sitios radiales enviarán el tráfico al concentrador de prioridad más alta que
sea accesible.
Página 28 de 78
Mariano Ducca
Warm Spare (High Availability)
Cuando se configura un diseño en alta disponibilidad (HA), un firewall sirve como la

unidad maestra y el otro funciona como repuesto. Todo el tráfico fluye a través del firewall
principal, mientras que el secundario actúa como una capa adicional de redundancia en caso
de una posible falla.
La conmutación por falla entre los dispositivos de seguridad en una configuración HA

aprovecha los paquetes VRRP3 (Virtual Router Redundancy Protocol). Estos paquetes se
envían desde el firewall primario al firewall secundario para poder indicar que el primario está
en línea y funcionando correctamente.
Figura 18: Esquema de configuración en alta disponibilidad
Mientras el secundario esté recibiendo estos paquetes para informar su estado de

actividad, funciona en el estado de repuesto. Si el secundario deja de recibir estos paquetes,
asumirá que el primario está fuera de línea y pasará al estado maestro. Para recibir paquetes,
ambos dispositivos del concentrador VPN deben tener enlaces activos en la misma subred
dentro del data center.
3
Página 29 de 78
Mariano Ducca
2.6 Cisco Meraki MX
La solución de conectividad y seguridad que ofrece Cisco Meraki es el modelo MX, un

dispositivo de administración de amenazas unificada manejado 100% a través de la nube. Los
dispositivos MX se administran desde una consola de administración web llamada dashboard,
el plano de gestión.
Figura 19: Familia de UTM Cisco Meraki MX
Los servicios en la nube proporcionan actualizaciones de firmware y firmas de

seguridad, establecen automáticamente los túneles VPN punto a punto y permiten la
posibilidad de ser administrados desde cualquier parte del mundo.
Cisco Meraki permite la creación de plantillas que permiten escalar fácilmente desde
pequeñas implementaciones hasta grandes implementaciones en varias ubicaciones con
decenas de miles de dispositivos.
La administración es basada en roles, se pueden configurar alertas por correo

electrónico en caso de cambios de configuración, problemas de conectividad y cortes de
corriente, con registros de cambios auditables.
Página 30 de 78
Mariano Ducca
2.6.1 Funcionalidades del UTM Cisco Meraki

Capacidades de administración unificada de amenazas (UTM)
- Control de tráfico según aplicaciones: establecimiento de políticas de ancho banda

basadas en el tipo de aplicación (Youtube, Skype, Facebook, etc.)
- Filtrado de contenido: filtro de contenido de conformidad con CIPA, aplicación de
búsqueda segura (Google/Bing) y Youtube para escuelas.
- Prevención de intrusos: sensor IPS conforme a la norma PCI, con base de datos de
firmas SNORT, líder del sector, de sourcefire.
- Antivirus y antipishing (suplantación de identidad): motor de protección basado en
flujos con tecnología de Kaspersky.
- Políticas de seguridad y administración de aplicaciones según identidades
VPN punto a punto resistente con tolerancia a fallos 4G
- VPN automática: generación automática de tabla de ruteo, configuración de IKE/IPSec

e intercambio de claves a través de la nube segura de Cisco Meraki
- Tolerancia a fallos automática con enlaces WAN secundarios o conexiones 4G
- Interoperabilidad con las VPN IPsec basadas en estándares
- Tolerancia a fallos automatizada de MPLS a VPN
- VPN cliente: soporte L2TP IPSec para clientes nativos de sistemas operativos como
Windows, Mac OS, iPAD y Android sin cargos de licencia por usuario
Servicio de puerta de enlace para las sucursales remotas:
- Servicio de gestión de DHCP, NAT, QoS y VLAN incorporados

- Almacenamiento en caché web: acelera el contenido de acceso frecuente
- Agregación de enlaces: combina múltiples conexiones WAN en una única interfaz de
alta velocidad, con políticas para QoS, formación del tráfico y tolerancia a fallos de los
enlaces
- Tolerancia a fallos de capa 3: detección automática de fallos en las capas 2 y 3, y rápida
tolerancia a fallos, incluidos módems USB 3G/4G,
- Optimización WAN: eliminación de la redundancia de datos, optimización de
protocolos y compresión que generan ahorros en ancho de banda de hasta un 99%
Página 31 de 78
Mariano Ducca
2.6.2 ¿Qué es un UTM?

Es importante mencionar que el dispositivo de seguridad Cisco Meraki MX no es un
firewall, sino que tiene más funcionalidades que lo convierten en un UTM (Unified Threat
Management).
El que primero introdujo el término de UTM fue IDC, quien describió al mismo como un
conjunto de dispositivos de seguridad que integran al firewall, antivirus, antispam, filtrado de
contenidos, detección y prevención de amenazas (IDS e IPS).
El UTM Meraki MX equivale a incluir en hardware las siguientes líneas de equipos:
Figura 20: Funcionalidades del UTM de Meraki comparada con equipos equivalentes
Los criterios para seleccionar un modelo en específico son el ancho de banda y la

cantidad de clientes concurrentes que se soportan. Esto último tiene que ver con la cantidad de
tráfico que el UTM puede inspeccionar para prevenir un ataque.
Página 32 de 78
Mariano Ducca
2.7 SDN – Software Defined Networking
2.7.1 Arquitectura SDN
Figura 21: Esquema de conexión de una arquitectura SDN
El proceso de comunicación entre los UTM y la nube de Cisco Meraki se realiza a través
un túnel IPSec por donde solo se intercambia información para gestionar a los equipos, no se
transmiten los datos de la red local (LAN) ni tampoco se tiene visibilidad de lo que sucede en
el túnel ya que esta cifrado y encriptado.
Página 33 de 78
Mariano Ducca
Meraki cumple con estándares internacionales de seguridad y certificados de Seguridad

como HIPAA4, PCI5, SAS706, SSAE167 e ISO 270018.
En esta imagen se puede apreciar claramente que existe una separación lógica entre el
plano de gestión, la consola de administración web, y el plano de datos. Una de las definiciones
de SDN se basa en la separación o abstracción que existe entre el plano de datos y el plano de
gestión.
2.7.2 SD-WAN
Una red WAN definida por software es un nuevo enfoque para las redes actuales, que
reduce los costos operativos y mejora el uso de los recursos existentes para hacer
implementaciones en múltiples sitios. Los administradores de redes pueden usar el ancho de
banda de una manera más eficiente y pueden ayudar a garantizar el más alto nivel de
rendimiento para las aplicaciones críticas sin sacrificar la seguridad o la privacidad de los datos.
Figura 22: Tráfico de SD-WAN global [Exabytes por mes]
4
https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/securityrule/nist800
66.pdf
5
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf
6
https://csbweb01.uncw.edu/people/ivancevichd/Classes/MSA%20516/Supplemental%20Rea
dings/Supplemental%20Reading%20for%20Mon,%2011-
10/Supplemental%20Readings%20Week%209/Intro%20to%20SAS%2070%20Audits.pdf
7
https://www.sqs-bfsi.com/_resources/isae3402-ssae16-acctng-stds.pdf
8
https://www.iso.org/standard/54534.html?browse=tc
Página 34 de 78
Mariano Ducca
Una última tendencia relacionada con la tecnología es la adopción de SD-WAN en las

empresas que se puede ver claramente en la figura 22. Comparativamente hablando, el tráfico
de SD-WAN crecerá 37 por ciento con respecto al 3 por ciento que va a crecer la WAN
tradicional basada en MPLS. SD-WAN se multiplicará 5 veces y será el 29 por ciento del
tráfico de la WAN para el año 2022.
2.7.3 Arquitectura SD-WAN
Desde un punto de vista de topología de red, la arquitectura de una red WAN definida
por software es como la que se muestra en la figura 23. Esta formada por 3 componentes
esenciales: el plano de gestión, el plano de control y el plano de datos.
Figura 23: Arquitectura de una red SD-WAN
Para el caso de una red WAN, el plano de datos esta formado por los todos los Routers
en los diferentes sitios y el plano de gestión va a ser el que se encarga de administrar todas las
políticas de las redes WAN.
En un primer momento, cuando el router se conecte por primera vez a la red, va a

intentar establecer comunicación con su plano de control. El plano de control es el que posee
todas las configuraciones, protocolos y políticas que el administrador de la red previamente
configuró en el plano de gestión.
Página 35 de 78
Mariano Ducca
2.7.4 Conceptos esenciales de SD-WAN
Es importante explicar algunos conceptos y definiciones esenciales para poder entender

una arquitectura SD WAN:
Modo concentrador
Todos los MX se pueden configurar en el modo de concentrador NAT o VPN. Hay

consideraciones importantes para ambos modos.
Concentrador de un solo equipo
En este modo, el MX se configura con una única conexión a la red. Todo el tráfico será
enviado y recibido en esta interfaz y es la configuración recomendada para aquellos
dispositivos que sirven como puntos de terminación VPN en el data center.
Concentrador de modo NAT
También es posible aprovechar el conjunto de características SD-WAN con un MX

configurado en modo NAT que actúa como punto de terminación VPN en el data center. El
UTM traduce las direcciones de IP públicas a direcciones de IP privadas.
Dual-Active VPN Uplinks
Antes del lanzamiento de SD-WAN, los túneles VPN automáticos solo se podían
formar a través de una única interfaz. Con SD-WAN, ahora es posible formar túneles
simultáneos a través de ambas interfaces del MX.
La capacidad de formar y enviar el tráfico a través de túneles VPN en ambas interfaces

aumenta significativamente la flexibilidad de la ruta del tráfico y las decisiones de
enrutamiento en las implementaciones de Auto VPN.
Además de proporcionar a los administradores la capacidad de equilibrar la carga del

tráfico VPN a través de varios vínculos, también les permite aprovechar la ruta de acceso
adicional al data center de diversas maneras mediante el enrutamiento basado en directivas.
Página 36 de 78
Mariano Ducca
Policy-Based Routing (PbR)
El enrutamiento basado en políticas permite que un administrador de redes configure

rutas VPN preferidas para diferentes flujos de tráfico en función de sus IP de origen/destino y
puertos.
Performance-Based Routing (PfR)
La diferencia con las PbR radica en que ahora la preferencia de una ruta esta basada en
lo que se denomina una “clase”. La definición de una clase se hace a partir de parámetros de
calidad de servicio como ser el retardo, pérdida de paquetes y latencia.
Dynamic Path Selection
La selección dinámica de rutas de acceso permite a un administrador de red configurar

criterios de rendimiento para diferentes tipos de tráfico. Las decisiones del mejor trayecto se
realizan basadas en un análisis que consiste en comparar cual de los túneles VPN disponibles
cumple los criterios determinados: pérdida de paquetes, latencia y retardos.
Performance Probes
Las decisiones basadas en performance se basan en un flujo preciso y coherente de

información sobre las condiciones actuales de la WAN para asegurarse de que la trayectoria
elegida sea la óptima.
La medición de performance es un pequeño paquete (aproximadamente 100 bytes) de

datos enviados a través de todos los túneles VPN establecidos cada 1 segundo. Los dispositivos
MX realizan un seguimiento de la velocidad de respuestas correctas y el tiempo que transcurre
entre cada operación de consulta.
Estos datos permiten que el MX determine la pérdida de paquetes, la latencia, y el jitter sobre
cada túnel VPN para tomar las decisiones necesarias basadas en el rendimiento que esta
teniendo la red.
Página 37 de 78
Mariano Ducca
2.7.5 Flujograma de toma de decisiones
A continuación, se analizará y se desglosará desde un punto de vista lógico como Meraki

realiza la selección de una ruta u otra al utilizar SD-WAN.
Punto de decisión 1: ¿Se puede establecer túneles a través de ambos enlaces conectados?
El primer punto de evaluación en el flujograma del tráfico de SD-WAN es verificar que el MX

tenga túneles Auto-VPN activos sobre ambas interfaces.
Página 38 de 78
Mariano Ducca
En el caso de que los túneles VPN no se establezcan con éxito sobre ambas interfaces, el tráfico
se remite sobre el otro enlace donde los túneles VPN si puedan ser establecidos con éxito. Si
se pueden establecer túneles en ambas interfaces, el procesamiento procede al siguiente punto
de decisión.
Página 39 de 78
Mariano Ducca
Punto de decisión 2: ¿Están definidas las reglas de rendimiento para la selección dinámica
de rutas?
Si se pudieron establecer túneles en ambos enlaces conectados, el dispositivo MX comprobará

si se existen PfR definidas para seleccionar el trayecto de manera automática.
Página 40 de 78
Mariano Ducca
Si solo una ruta VPN satisface los requisitos de performance, el tráfico se enviará a través de
esa ruta VPN. El MX no evaluará las reglas pbR si solo una ruta VPN cumple con las reglas
de performance para la selección dinámica de la ruta.
Página 41 de 78
Mariano Ducca
Si hay varias rutas VPN que satisfagan los requisitos de selección del trayecto dinámico o si
no hay rutas que satisfagan los requisitos, se evaluarán las reglas PbR.
Página 42 de 78
Mariano Ducca
Después de que se realicen las reglas de performance para las decisiones de selección de ruta,
el MX evalúa el siguiente punto de decisión.
Punto de decisión 3: ¿Hay reglas PbR definidas?
Después de comprobar las reglas de selección dinámica de rutas, el dispositivo de seguridad

MX evaluará las reglas PbR para verificar si varias rutas de acceso cumplen con los requisitos
de performance establecidos. Si un flujo coincide con una regla PbR configurada, el tráfico se
enviará mediante la preferencia de ruta de acceso configurada.
Página 43 de 78
Mariano Ducca
Si el flujo no coincide con una regla PbR configurada, el tráfico progresa lógicamente al
siguiente punto de decisión.
Punto de decisión 4: ¿Está configurado el balanceo de carga VPN?
Después de evaluar la selección dinámica de rutas y las reglas PbR, el dispositivo de seguridad
MX evaluará si se ha habilitado el balanceo de carga de VPN.
Página 44 de 78
Mariano Ducca
Si el balanceo de carga VPN no se encuentra habilitado, el tráfico será enviado sobre un túnel
formado en la interfaz de Internet primaria.
Para configurar que interfaz de Internet será la principal, se puede hacer desde el dashboard
bajo la solapa Seguridad y SD-WAN > Configuración > SD-WAN y modelado del tráfico.
Figura 24: Configuración de política en Meraki
Página 45 de 78
Mariano Ducca
Si se habilita el balanceo de carga, los flujos serán equilibrados a través de los túneles formados
sobre ambos enlaces conectados.
Página 46 de 78
Mariano Ducca
El balanceo de carga VPN utiliza los mismos métodos para equilibrar que el vínculo superior
MX.
Como se pudo apreciar, el proceso lógico de selección de rutas de Meraki es muy

eficiente y esto sucede de manera automática sin la necesidad que el usuario este monitoreando
constantemente en todos los puntos de control de la red.
Página 47 de 78
Mariano Ducca
CAPITULO III
3.1 Marco Regulatorio
El corriente análisis de factibilidad de la tecnología SD-WAN involucra distintos aspectos

regulatorios y legales que se analizaran en mayor profundidad en este capítulo.
En el marco de la Ley Argentina Digital (Ley 27.078)9 que regula las Telecomunicaciones
en la Nación Argentina para la explotación de la empresa que desarrolle el proyecto y explote
económicamente el beneficio de SD-WAN deberá requerir de una Licencia Única de Servicios
de Telecomunicaciones. Según la misma la prestación de los servicios es independiente de la
tecnología o medios utilizados para ofrecerlos. El Prestador podrá seleccionar libremente la
tecnología y la arquitectura de red que considere más adecuada para la eficiente prestación del
servicio.
La Licencia Única de Servicios de Telecomunicaciones habilita a la prestación al público

de servicios de telecomunicaciones móviles, alámbricos o inalámbricos. El Ente Nacional de
Comunicaciones (ENACOM) es el organismo competente para el otorgamiento de la licencia.
Las licencias de telecomunicaciones otorgadas tienen las siguientes características:
Alcance nacional
Sin límite de tiempo (no tienen vencimiento),
Se entregan a requerimiento del interesado,
Su otorgamiento es independiente de los medios requeridos para la prestación del servicio,

manteniendo la neutralidad tecnológica.
Todo prestador de servicios de telecomunicaciones está obligado al pago de la Tasa de

Control Fiscalización y Verificación, que se encuentra normada en la Resolución N.º 1835
CNT/95. Dicha tasa surge por la aplicación del MEDIO POR CIENTO (0,50%) sobre el total
de ingresos que se obtengan por los servicios prestados, neto de impuestos y tasas que los
graven, gastos de interconexión y otras deducciones admitidas en la normativa mencionada y
9
http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/239771/norma.htm
Página 48 de 78
Mariano Ducca
se aplicará desde concedida la licencia o la efectiva prestación del servicio (lo que fuera
anterior).10
En adición, el prestador está obligado a efectuar el aporte de inversión equivalente al UNO

POR CIENTO (1%) de la totalidad de sus ingresos devengados por la prestación de los
servicios, neto de impuestos y tasas que los graven y demás deducciones admitidas.
Para la obtención de la licencia se deberá presentar según lo exigido en el Decreto 764/00

11
al cual se suscribe la ley 27.07812:
1. Nota de solicitud de Licencia Única y Registro de Servicio/s.
2. Planillas de Datos del Solicitante (Formulario F2)
3. Carpeta Jurídica
4. Carpeta Técnica
5. Carpeta Económica
Según la norma si la prestación del servicio de telecomunicaciones al público requiere el

uso de frecuencias del espectro radioeléctrico como elemento constitutivo del servicio a
brindar, el Prestador deberá tramitar, ante la Autoridad de Aplicación, el otorgamiento de la
correspondiente autorización y/o permiso de uso de frecuencias del espectro radioeléctrico, de
conformidad con lo estipulado en el Reglamento General de Administración, Gestión y Control
del Espectro Radioeléctrico vigente y en la demás normativa aplicable.
La implementación del proyecto sucederá en un periodo de tiempo limitado. Por lo tanto,

se recomienda que el desarrollador del negocio para la instalación contrate a un tercero y no
emplee recursos humanos propios.
Para implementar este proyecto lo debe hacer una organización o empresa legal que
respalde su ejercicio en el marco del Código de Comercio Argentino.
10
https://www.enacom.gob.ar/tasa-de-control--fiscalizacion-y-verificacion_p745
11
12
Página 49 de 78
Mariano Ducca
El prestador del servicio de implementación deberá tomar y mantener seguros suficientes
aplicables a la ejecución de las obras en una compañía de reconocida solvencia. El prestador
deberá acreditar la constitución de los seguros de modo que se encuentren vigentes al momento
de inicio de las obras y trabajos.
La contratación de los seguros antes mencionados no eximirá en todo o en parte de la

responsabilidad asumida por el Prestador en virtud de la presente Contrato y de las leyes
aplicables. En consecuencia, el Prestador será responsable por el incumplimiento de las
aseguradoras a sus obligaciones y por toda consecuencia no cubierta por los seguros
contratados, incluyendo sin limitación los deducibles a cargo del asegurado y/o cualquier
franquicia aplicable, asumiendo el Prestador esta obligación en forma plena y liberando a
nuestra empresa de toda responsabilidad, y comprometiéndose a mantenerla indemne de todas
y cualesquiera de tales consecuencias.
La contratista o prestador del servicio de implementación deberá disponer:
A. Seguro de responsabilidad civil. Debe contratar un seguro de responsabilidad civil que

cubra la responsabilidad civil derivada de la realización de las Obras y Trabajos u otros, ya sea
por daños corporales y/o materiales, que se produzcan con motivo o en ocasión de la ejecución
de las Obras y Trabajos, ya fuese en el Sitio donde se desarrolla la Obra y Trabajos o en la
vecindad inmediata, o en otro sitio pero realizando trabajos o tareas por un monto mínimo de
USD 1.000.000 (Un millón de dólares de Estados Unidos de América). Al contratar este
seguro, deberá incluirse como condición particular la “Cláusula de Contratistas y/o
Subcontratistas.
B. Seguro contra todo riesgo de accidente de trabajo. El Prestador deberá contratar un

seguro de riesgos del trabajo con cláusula de no repetición, en los términos de la Ley
N°24.55713, respecto de todo el personal afectado a la Obra y Trabajos (incluyéndose el
personal del Prestador y/o de eventuales subcontratistas) firmada por la Aseguradora de
Riesgos (ART).
C. Accidentes Personales. Asimismo, el Prestador deberá asegurar a todo proveedor,

consultor, inspector, o supervisor a su cargo, profesional o personal autónomo o monotributista
13
http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=27971
Página 50 de 78
Mariano Ducca
que preste cualquier tipo de servicios para el cumplimiento del objeto del presente Contrato
con cobertura por accidentes personales que pudieran sucederse en la Obra y Trabajos. Deberán
incluirse las siguientes coberturas y cláusulas adicionales con sus correspondientes sumas
aseguradas mínimas aceptadas:
I) Muerte: $ 1.500.000.
II) Incapacidad Total y Parcial Permanente: $ 500.000.
III) Incapacidad Total y Parcial Temporaria: $ 500.000.
IV) Gastos de Internación / Farmacia: $ 30.000.-
Ámbito de Cobertura: Horario de Trabajo + Adicional In Itinere. Inclusión de cobertura

para trabajos en altura.
D. Seguro colectivo de vida obligatorio. (dec. 1567/7414) donde figure la nómina del
personal amparado) y el pertinente recibo de pago. Según el Decreto 1567/7415, la totalidad del
personal del oferente cualquiera sea su cargo o función, deberá estar amparado por este seguro.
E. Copia del Programa de Seguridad e Higiene completo y aprobado por la Aseguradora

de Riesgos (ART). Acorde lo establecido y según corresponda: Resolución S.R.T. 35/9816;
Resolución S.R.T. 51/9717.
F. Constancia de capacitación firmado en conformidad. En materia de Higiene, Seguridad

y Riesgos existentes para el personal empleado.
G. Constancia de entrega de ropa de trabajo, elementos y equipos de protección personal

(EPP).
14
http://servicios.infoleg.gob.ar/infolegInternet/anexos/20000-24999/24301/texact.htm
15
http://servicios.infoleg.gob.ar/infolegInternet/anexos/20000-24999/24301/texact.htm
16
17
Página 51 de 78
Mariano Ducca
CAPITULO IV
4.1 Infraestructura actual de las empresas
Las empresas utilizan diferentes componentes en la red para poder funcionar y entre ellos
se destacan los Switches, Routers, Firewalls y Access Points. El objetivo en este apartado es
analizar cual es el costo de mantenimiento de esta infraestructura desde un punto de vista de
OPEX y CAPEX, es decir gastos operativos y gastos de capital.
Una vez que se haya mostrado cuánto es el gasto de OPEX y CAPEX para sostener la
operación de cada empresa, se va a comparar con el gasto que les insume realizarlo empleando
la tecnología SD-WAN.
En ambas empresas bajo análisis se va a poder apreciar una clara reducción en los gastos
de OPEX, dejando en evidencia una de las grandes ventajas de esta tecnología que es la de
reducir los costos y poder mejorar la calidad del servicio y velocidades de conexión.
Actualmente, todas las empresas que requieren enlaces WAN de un proveedor de servicios
tienen que destinar un gasto mensual de OPEX para abonar el gasto de arrendamiento de los
equipos, el costo de los enlaces y un contrato de soporte para cubrir un eventual caso en donde
se presente algún inconveniente en la red.
Página 52 de 78
Mariano Ducca
4.1.2 Ecogas – Distribuidora de gas del centro
Ecogas es una empresa que tiene presencia en las provincias de Córdoba, Mendoza, La
Rioja, San Luis, San Juan y Catamarca. Ecogas transporta el fluido de gas a cada punto de
consumo particular una vez que se extrae de las cuencas, para luego ser inyectado en el sistema
de gasoductos troncales que transportan el fluido desde los yacimientos hasta las zonas de
consumo.
Se realizó un relevamiento de la infraestructura actual que poseen para mantener la

operación activa donde brindan servicios. En total poseen 12 firewalls, 6 routers y 17 switches
distribuidos en las 6 provincias.
Los modelos de equipamiento son los siguientes:
Router Firewall Switches

Juniper MX40 Fortinet 200E DELL S3124P
Juniper MX10 Fortinet 100E DELL S3148P
DELL S4048
Tabla III: Modelos de equipos
Los precios de la tabla IV fueron consultados directamente con las empresas revendedoras de
las marcas y para el precio en pesos argentinos se tomó una cotización de $60.
Página 53 de 78
Mariano Ducca
Equipos Precio (USD) Precio (ARS)

Juniper MX40 $ 2.895,00 $ 173.700,00
Juniper MX10 $ 3.800,00 $ 228.000,00
FORTINET 200E $ 1.300,00 $ 78.000,00
FORTINET 100E $ 1.000,00 $ 60.000,00
DELL S3124P $ 1.500,00 $ 90.000,00
DELL S3148P $ 3.000,00 $ 180.000,00
DELL S4048 $ 10.000,00 $ 600.000,00
Tabla IV: Costo de equipamiento en pesos argentinos y en dólares
Para el análisis del costo de la infraestructura actual se va a analizar cual es el CAPEX

de los Routers ya que se va a plantear un reemplazo de los equipos existentes por los modelos
de Cisco Meraki que son capaces de realizar SD-WAN.
El CAPEX total de los Routers actualmente es de USD 19,180. Este valor se obtiene de sumar
dos Routers Juniper MX10 y cuatro Routers Juniper MX40.
Como se puede ver en la figura 25, el equipo propuesto de la línea Cisco Meraki tiene
un precio de lista de USD 945+IVA. A este valor, se le tiene que aplicar un descuento que
otorga Cisco como proveedor de la solución.
Figura 25: Precio del UTM de Meraki
Página 54 de 78
Mariano Ducca
Meraki utiliza un modelo de licenciamiento por cada equipo que también se tiene que
considerar. A continuación, se puede ver cuanto vale el precio de lista de cada licencia a 3 años:
Figura 26: Precio de las licencias de los UTM de Meraki

Si se considera un margen del 25% para el canal que realiza la venta del producto y un
descuento del 65% que otorga Cisco, el precio de UTM de Meraki queda en USD 744 y cada
licencia a 3 años vale USD 303.
CAPEX
Descripción Precio unitario en USD Cantidad TOTAL (USD)

Meraki MX65 744 6 4464
Licencia a 3 años 303 6 1818
Total CAPEX USD 6.282,00
Tabla V: CAPEX de Meraki

Se puede ver como en este caso se redujo la inversión de CAPEX de USD 19.180 a
USD 6.282. En este caso el cliente decidió realizar los pagos de la inversión del capital en 4
fases, que se dividen de la siguiente manera:
Fases Inversión en USD Inversión en ARS

Fase 0 $ 1.570,50 AR$ 94.230
Fase 1 $ 1.570,50 AR$ 94.230
Fase 2 $ 1.570,50 AR$ 94.230
Fase 3 $ 1.570,50 AR$ 94.230
Tabla VI: Etapas de inversión del cliente
Página 55 de 78
Mariano Ducca
Si se analizan, ahora, los gastos operativos actuales (OPEX) lo que se hizo fue ver
cuanto gasta la empresa actualmente en los enlaces WAN. En la tabla VII se pueden ver los
precios mensuales de los enlaces MPLS e Internet diferenciados por ancho de banda.
MB Internet por mes MPLS por mes

1 ARS 700,00 ARS 18.360,00
5 ARS 1.200,00 ARS 29.100,00
10 ARS 2.000,00 ARS 33.600,00
Tabla VII: Precios de enlaces de internet y MPLS

Para comprender mejor este esquema de enlaces, se procede a mostrar como esta conformada
la solución del cliente actual en la figura 27:
Figura 27: Arquitectura sin SD-WAN
Una vez expuestos los valores de cada uno de los enlaces, se procederá a analizar en la tabla
VIII cuanto es el gasto total de OPEX que tiene la empresa considerando todas las sucursales
con sus respectivos tipos de enlaces y anchos de banda.
Página 56 de 78
Mariano Ducca
OPEX sin SD-WAN
Internet MPLS
Sucursales Internet MPLS
[MB] [MB]
Córdoba - ARS 67.200,00 10
La rioja ARS 700,00 - 1
Mendoza ARS 1.200,00 ARS 29.100,00 5 5
San Juan ARS 700,00 - 1
San Luis - ARS 33.600,00 10
Catamarca ARS 700,00 - 1
Total ARS 3.300,00 ARS 129.900,00
Total OPEX mensual ARS 133.200,00

Total OPEX mensual $ 2.220,00
Tabla VIII: OPEX sin SD-WAN

Adicionalmente, se tiene que considerar para aquellas sucursales que tienen enlaces MPLS el
costo de arrendamiento de los equipos y calidad de servicio contratada.
Tipo Dólares mensual Pesos mensual

Arrendamiento de equipo
USD 150,00 ARS 9.000,00
Mantenimiento
Tabla IX: Arrendamiento de equipos y mantenimiento de MPLS
Gracias a que la empresa adquirió la solución de SD-WAN, se pudieron reemplazar costosos

enlaces MPLS por enlaces de internet e incluso quintuplicar el ancho de banda en alguna de
las sucursales.
En la figura 28 se puede ver como quedó la infraestructura del cliente una vez que se
implemento SD-WAN:
Página 57 de 78
Mariano Ducca
Figura 28: Arquitectura con SD-WAN
OPEX CON SD-WAN
Internet MPLS
Sucursales Internet MPLS
[MB] [MB]
Córdoba - ARS 58.200,00 5
La rioja ARS 700,00 - 1
Mendoza ARS 1.200,00 ARS 18.360,00 5 1
San Juan ARS 1.200,00 - 5
San Luis ARS 2.000,00 - 10
Catamarca ARS 1.200,00 - 5
Total ARS 6.300,00 ARS 76.560,00
Total OPEX
ARS 82.860,00
mensual
Total OPEX
$ 1.381,00
mensual
Tabla X: OPEX con SD-WAN

El ahorro de OPEX implementando SD-WAN fue del 60%.
Se realizó el flujo de caja del proyecto para ver cual fue el estado de resultados (EERR)
y como fue el acumulado a lo largo del tiempo analizado. Se pudo observar, también, como
mejoro el VAN del proyecto pasando de los U$S 30.351,57 antes de implementar SD-WAN a
los U$S 24.353,20 luego de implementar SD-WAN.
Página 58 de 78
PRIMER AÑO
Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 Mes 7 Mes 8 Mes 9 Mes 10 Mes 11 Mes 12
#Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono #Suc MPLS Abono
Enlaces - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00
Arrendamiento Equipos 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00 3 $ 450,00
Subtotal $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00
VAN $ 30.351,57
Estado Actual sin SD-WAN

Pago mensual $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00
PRIMER AÑO
Fase 0 Fase 1 Fase 2 Fase 3
Inversión Fase $ 1.570,50 $ 1.570,50 $ 1.570,50 $ 1.570,50 $ 731,50 $ (257,50) $ (1.246,50) $ (2.235,50) $ (3.224,50) $ (4.213,50) $ (5.202,50) $ (6.191,50)
Enlaces - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00
Subtotal sin la inversión $ 1.831,00 $ 1.831,00 $ 1.831,00 $ 1.831,00 $ 1.681,00 $ 1.681,00 $ 1.681,00 $ 1.681,00 $ 1.681,00 $ 1.681,00 $ 1.681,00 $ 1.681,00
Tabla XI: Análisis del primer año

Pago mensual con inversión $ 3.401,50 $ 3.401,50 $ 3.401,50 $ 3.401,50 $ 2.412,50 $ 1.423,50 $ 434,50 $ (554,50) $ (1.543,50) $ (2.532,50) $ (3.521,50) $ (4.510,50)
Nueva Propuesta con SD-WAN

Ahorro $ 839,00 $ 839,00 $ 839,00 $ 839,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00
EERR $ (731,50) $ (731,50) $ (731,50) $ (731,50) $ 257,50 $ 1.246,50 $ 2.235,50 $ 3.224,50 $ 4.213,50 $ 5.202,50 $ 6.191,50 $ 7.180,50
VAN $ 24.353,20
Acumulado $ 731,50 $ 731,50 $ 731,50 $ 731,50 $ (257,50) $ (1.246,50) $ (2.235,50) $ (3.224,50) $ (4.213,50) $ (5.202,50) $ (6.191,50) $ (7.180,50)
Mariano Ducca
Página 59 de 78
SEGUNDO AÑO
Enlaces - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00
Subtotal $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00
VAN

Pago mensual $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00
SEGUNDO AÑO
Inversión Fase $ (7.180,50) $ (8.169,50) $ (9.158,50) $ (10.147,50) $ (11.136,50) $ (12.125,50) $ (13.114,50) $ (14.103,50) $ (15.092,50) $ (16.081,50) $ (17.070,50) $ (18.059,50)
Enlaces - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00
Tabla XII: Análisis del segundo año

Pago mensual con inversión $ (5.499,50) $ (6.488,50) $ (7.477,50) $ (8.466,50) $ (9.455,50) $ (10.444,50) $ (11.433,50) $ (12.422,50) $ (13.411,50) $ (14.400,50) $ (15.389,50) $ (16.378,50)

Ahorro $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00
EERR $ 8.169,50 $ 9.158,50 $ 10.147,50 $ 11.136,50 $ 12.125,50 $ 13.114,50 $ 14.103,50 $ 15.092,50 $ 16.081,50 $ 17.070,50 $ 18.059,50 $ 19.048,50
VAN
Acumulado $ (8.169,50) $ (9.158,50) $ (10.147,50) $ (11.136,50) $ (12.125,50) $ (13.114,50) $ (14.103,50) $ (15.092,50) $ (16.081,50) $ (17.070,50) $ (18.059,50) $ (19.048,50)
Mariano Ducca
Página 60 de 78
TERCER AÑO
Enlaces - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00 - $ 2.220,00
Subtotal $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00
VAN

Pago mensual $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00 $ 2.670,00
TERCER AÑO
Inversión Fase $ (19.048,50) $ (20.037,50) $ (21.026,50) $ (22.015,50) $ (23.004,50) $ (23.993,50) $ (24.982,50) $ (25.971,50) $ (26.960,50) $ (27.949,50) $ (28.938,50) $ (29.927,50)
Enlaces - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00 - $ 1.381,00
Pago mensual con inversión $ (17.367,50) $ (18.356,50) $ (19.345,50) $ (20.334,50) $ (21.323,50) $ (22.312,50) $ (23.301,50) $ (24.290,50) $ (25.279,50) $ (26.268,50) $ (27.257,50) $ (28.246,50)

Ahorro $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00 $ 989,00
EERR $ 20.037,50 $ 21.026,50 $ 22.015,50 $ 23.004,50 $ 23.993,50 $ 24.982,50 $ 25.971,50 $ 26.960,50 $ 27.949,50 $ 28.938,50 $ 29.927,50 $ 30.916,50
VAN
Acumulado $ (20.037,50) $ (21.026,50) $ (22.015,50) $ (23.004,50) $ (23.993,50) $ (24.982,50) $ (25.971,50) $ (26.960,50) $ (27.949,50) $ (28.938,50) $ (29.927,50) $ (30.916,50)
Ahorro primer año $ 7.180,50

Ahorro segundo año $ 11.868,00
Ahorro tercer año $ 11.868,00
Tabla XIII: Análisis del tercer año y ahorro anual

Mariano Ducca
Página 61 de 78
Mariano Ducca
4.1.3 Importante entidad bancaria
Para el análisis de esta segunda empresa, por una cuestión de confidencialidad se

solicitó no revelar su nombre, pero si se pudieron obtener todos los datos solicitados para poder
realizar el análisis económico.
El esquema actual de conectividad en cada una de las sucursales que tiene el banco es
el siguiente:
Figura 29: Esquema actual de conectividad en cada sucursal
El proceso de migración a SD-WAN para este proyecto en particular consiste en ir

transformando la topología de cada sucursal al siguiente esquema donde en cada sucursal ahora
van a haber dos UTM MX64 en HA y un switch Meraki MS120-24P:
Figura 30: Nuevo esquema propuesto para cada sucursal
Página 62 de 78
Mariano Ducca
De forma gráfica, la transformación de la red sería como la mostrada en la figura 31.
Figura 31: Plan de migración de infraestructura para cada sucursal
Se procede a analizar cual es el CAPEX para cada uno de los sitios a reemplazar, es decir, las
sucursales interbancarias y el nodo central del data center.
Sucursal Interbancaria
Modelo Precio Cantidad Total
MX 64 USD 1.473,33 2 USD 2.946,65
MS120-24P USD 1.565,00 1 USD 1.565,00
Total USD 4.511,65
Tabla XIV: CAPEX de cada sucursal interbancaria
Página 63 de 78
Mariano Ducca
Nodo Central
Modelo Precio Cantidad Total
MX 84 USD 4.858,75 2 USD 9.717,50
Total USD 9.717,50
Tabla XV: CAPEX del nodo central
Teniendo en cuenta que el banco cuenta con un data center y 18 sucursales, el total de CAPEX
equivale a USD 100.644,70 + IVA.
Se diseño una estrategia de migración que consiste en ir reemplazando progresivamente

las sucursales donde hay dos enlaces MPLS hasta llegar al punto final donde se reemplazan
todos los sitios con dos enlaces MPLS por uno de internet y otro de MPLS.
Por ejemplo, en la fase 0 se realiza la inversión del equipamiento correspondiente al nodo

central y el de la sucursal interbancaria.
Fases DC SUC Inversion

Fase 0 2 5 $ 41.993,25
Fase 1 0 5 $ 22.558,25
Fase 2 0 4 $ 18.046,60
Fase 3 0 4 $ 18.046,60
Tabla XVI: Etapas de inversión del banco
Página 64 de 78
Mariano Ducca
Veamos, cuales son los precios de los enlaces de internet, MPLS y el costo de arrendamiento
de los equipos, que va a representar el OPEX del cliente:
Precio mensual
MPLS ISP A USD 1.100,00
MPLS ISP B USD 1.260,00
Conexión Internet USD 100,00
Arrendamiento Equipos USD 240,00
Tabla XVII: OPEX mensual del banco
#Sucursales Precio
ISP A 20 USD 22.000,00
Sin SD-WAN
ISP B 20 USD 25.200,00
Arrendamiento Equipos 20 USD 4.800,00
Total USD 52.000,00
Tabla XVIII: OPEX mensual del banco sin SD-WAN
#Sucursales Precio
Con SD-WAN ISP A 20 USD 22.000,00
Conexión a internet 20 USD 2.000,00
Total USD 24.000,00
Tabla XIX: OPEX mensual del banco con SD-WAN

El ahorro mensual de OPEX comparando una solución con la otra es del 46,15% una vez que
se haya completado todo el proceso de migración de sitios.
Se realizó el flujo de caja del proyecto para ver cual fue el estado de resultados (EERR)
y como fue el acumulado a lo largo del tiempo analizado. Se pudo observar, también, como
mejoro el VAN del proyecto pasando de los U$S 360.760,35 antes de implementar SD-WAN
a los U$S 254.412,76 luego de implementar SD-WAN.
Página 65 de 78
PRIMER AÑO
# Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono # Suc Abono
ISP A 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00
ISP B 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00
Arrendamiento Equipos 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00 20 $ 4.800,00
Subtotal $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00

VAN $ 360.760,35
Pago mensual $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00
Fase 0 Fase 1 Fase 2 Fase 3

Inversión Fase $ 41.993,25 $ 65.251,50 $ 78.009,75 $ 83.036,35 $ 60.636,35 $ 32.636,35 $ 4.636,35 $ (23.363,65) $ (51.363,65) $ (79.363,65) $ (107.363,65) $ (135.363,65)
ISP A 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00
ISP B 20 $ 25.200,00 13 $ 16.380,00 11 $ 13.860,00 4 $ 5.040,00 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ -
Arrendamiento Equipos 20 $ 4.800,00 13 $ 3.120,00 8 $ 1.920,00 4 $ 960,00 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ -
Conexión Internet 7 $ 700,00 7 $ 700,00 12 $ 1.200,00 16 $ 1.600,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00
Subtotal $ 52.700,00 $ 42.200,00 $ 38.980,00 $ 29.600,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00
Pago mensual $ 94.693,25 $ 107.451,50 $ 116.989,75 $ 112.636,35 $ 84.636,35 $ 56.636,35 $ 28.636,35 $ 636,35 $ (27.363,65) $ (55.363,65) $ (83.363,65) $ (111.363,65)
Tabla XX: Análisis del primer año

Ahorro $ (700,00) $ 9.800,00 $ 13.020,00 $ 22.400,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00

EERR $ (42.693,25) $ (55.451,50) $ (64.989,75) $ (60.636,35) $ (32.636,35) $ (4.636,35) $ 23.363,65 $ 51.363,65 $ 79.363,65 $ 107.363,65 $ 135.363,65 $ 163.363,65
VAN $ 254.412,76
Acumulado 42.693,25 55.451,50 64.989,75 60.636,35 32.636,35 4.636,35 (23.363,65) (51.363,65) (79.363,65) (107.363,65) (135.363,65) (163.363,65)
Mariano Ducca
Página 66 de 78
SEGUNDO AÑO
ISP A 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00
ISP B 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00
Subtotal $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00

VAN
Pago mensual $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00
SEGUNDO AÑO
Inversión Fase $ (163.363,65) $ (191.363,65) $ (219.363,65) $ (247.363,65) $ (275.363,65) $ (303.363,65) $ (331.363,65) $ (359.363,65) $ (387.363,65) $ (415.363,65) $ (443.363,65) $ (471.363,65)
ISP A 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00
ISP B 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ -
Arrendamiento Equipos 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ -
Conexión Internet 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00
Subtotal $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00
Pago mensual $ (139.363,65) $ (167.363,65) $ (195.363,65) $ (223.363,65) $ (251.363,65) $ (279.363,65) $ (307.363,65) $ (335.363,65) $ (363.363,65) $ (391.363,65) $ (419.363,65) $ (447.363,65)
Tabla XXI: Análisis del segundo año

Ahorro $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00

EERR $ 191.363,65 $ 219.363,65 $ 247.363,65 $ 275.363,65 $ 303.363,65 $ 331.363,65 $ 359.363,65 $ 387.363,65 $ 415.363,65 $ 443.363,65 $ 471.363,65 $ 499.363,65
VAN
Acumulado (191.363,65) (219.363,65) (247.363,65) (275.363,65) (303.363,65) (331.363,65) (359.363,65) (387.363,65) (415.363,65) (443.363,65) (471.363,65) (499.363,65)
Mariano Ducca
Página 67 de 78
TERCER AÑO
ISP A 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00
ISP B 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00 20 $ 25.200,00
Subtotal $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00

VAN
Pago mensual $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00 $ 52.000,00
TERCER AÑO
Inversión Fase $ (499.363,65) $ (527.363,65) $ (555.363,65) $ (583.363,65) $ (611.363,65) $ (639.363,65) $ (667.363,65) $ (695.363,65) $ (723.363,65) $ (751.363,65) $ (779.363,65) $ (807.363,65)
ISP A 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00 20 $ 22.000,00
ISP B 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ -
Arrendamiento Equipos 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ - 0 $ -
Conexión Internet 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00 20 $ 2.000,00
Subtotal $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00 $ 24.000,00
Pago mensual $ (475.363,65) $ (503.363,65) $ (531.363,65) $ (559.363,65) $ (587.363,65) $ (615.363,65) $ (643.363,65) $ (671.363,65) $ (699.363,65) $ (727.363,65) $ (755.363,65) $ (783.363,65)
Ahorro $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00 $ 28.000,00

EERR $ 527.363,65 $ 555.363,65 $ 583.363,65 $ 611.363,65 $ 639.363,65 $ 667.363,65 $ 695.363,65 $ 723.363,65 $ 751.363,65 $ 779.363,65 $ 807.363,65 $ 835.363,65
VAN
Acumulado (527.363,65) (555.363,65) (583.363,65) (611.363,65) (639.363,65) (667.363,65) (695.363,65) (723.363,65) (751.363,65) (779.363,65) (807.363,65) (835.363,65)
Ahorro primer año $ 163.363,65
Ahorro segundo año $ 336.000,00
Ahorro tercer año $ 336.000,00
Tabla XXII: Análisis del tercer año y ahorro de costos anual

Mariano Ducca
Página 68 de 78
Mariano Ducca
CAPITULO V
5.1 Conclusión
A lo largo de este trabajo se ha puesto de manifiesto y se explicó cuales son los

beneficios de utilizar SD-WAN como cambio de paradigma en las redes actuales. Esta solución
surge gracias a que se está produciendo un drástico cambio en el tipo de tráfico que las las
empresas utilizan actualmente. El motor que impulsa esto es al aumento de las aplicaciones
cloud que las empresas utilizan como Office 365, Google Drive, Dropbox, etc.
Por otro lado, al incremento de aplicaciones se le agrega la complejidad que se están

conectando a internet 127 nuevos dispositivos cada 20 segundos. En un estudio que realiza
Gartner, se indica que “para finales del año 2023, más del 90% de la infraestructura
perimetral WAN se basará en plataformas de equipos locales del cliente (CPE) o WAN
definidas por software (SD-WAN), cuando actualmente es menos del 40%”.
Desde el punto de vista económico, analizando la primera empresa se logró obtener un

ahorro mensual de costos operativos (OPEX) del 60% y en el caso de la entidad bancaria se
consiguió un ahorro mensual del 46,15%. Para ambos casos, se planteó un escenario donde se
buscó reemplazar el equipamiento existente por uno que tenga la capacidad de realizar SD-
WAN. En el caso de la entidad bancaria, el reemplazo del equipamiento se realizó
progresivamente en cuatro etapas ya que el proceso de sustitución de los enlaces MPLS por
enlaces de internet resulta complejo en la operación diaria de un banco.
Por último, gracias a la implementación de esta nueva tecnología se consiguieron

mejorar las velocidades de los enlaces WAN y de esta forma se mejoró la calidad de
experiencia de los usuarios, además del ahorro de los costos operativos. En el caso de
ECOGAS, luego de finalizar el cambio de tecnología en las sucursales de Catamarca, La Rioja
y San Juan se pudo quintuplicar el ancho de banda transformando los enlaces de 1MB a enlaces
de 5MB.
El constante avance de la tecnología va permitiendo que las empresas y las personas se

puedan comunicar entre sí cada vez mas rápido y de una manera mas eficiente, las redes
definidas por software son la solución para acompañar el desarrollo de este nuevo cambio.
Página 69 de 78
5.2 Bibliografía
Páginas web
Cisco Meraki [en línea]. [consulta 04 nov 2019]. <https://meraki.cisco.com/>
Cisco Meraki [en línea]. [consulta 04 nov 2019]. <https://documentation.meraki.com/>
Cisco Meraki [en línea]. [consulta 04 nov 2019]. <https://documentation.meraki.com/trust/>
Cisco SD-WAN [en línea]. [consulta 04 nov 2019].
<https://www.cisco.com/c/en/us/solutions/enterprise-networks/sd-wan/index.html>
Dell EMC [en línea]. [consulta 04 nov 2019]. < https://www.dellemc.com/en-

us/networking/index.htm/>
Juniper [en línea]. [consulta 04 nov 2019]. <https://www.juniper.net/us/en/products-

services/routing/>
Fortinet [en línea]. [consulta 04 nov 2019]. <https://www.fortinet.com/products/next-

generation-firewall.html#models-specs>
BetterCloud State of the SaaS-Powered Workplace [en línea]. [consulta 04 nov 2019].
<https://www.bettercloud.com/monitor/state-of-the-saas-powered-workplace-report/>
Ley Argentina Digital [en línea]. [consulta 04 nov 2019].
<http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/239771/norma.htm>
Tasa de control y verificación [en línea]. [consulta 04 nov 2019].
<https://www.enacom.gob.ar/tasa-de-control--fiscalizacion-y-verificacion_p745>
Decreto 764/00 [en línea]. [consulta 04 nov 2019].
<http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64222/norma.htm>
Ley N°24.557: Ley de riesgos del trabajo [en línea]. [consulta 04 nov 2019].
<http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=27971>
ISO 27001[en línea]. [consulta 04 nov 2019].

<https://www.iso.org/standard/54534.html?browse=tc>
RFC [en línea]. [consulta 04 nov 2019].
<https://tools.ietf.org>
Mariano Ducca
What’s new with the internet of things? [en línea]. [consulta 04 nov 2019].
<https://www.mckinsey.com/industries/semiconductors/our-insights/whats-new-with-the-
internet-of-things>
Papers
IDC: Security, Application Experience and Operational Simplicity Drive Market Growth. [en
línea]. Estados Unidos, abril 2019. Disponible de world wide web:
https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/intelligent-
wan/idc-tangible-benefits.pdf
Meraki Auto VPN (Layer 3 site-to-site IPsec) and how to deploy it between Cisco Meraki
Security Appliances. [en línea]. Estados Unidos, julio 2013. Disponible de world wide web:
https://meraki.cisco.com/lib/pdf/meraki_whitepaper_autovpn.pdf
Magic Quadrant for WAN Edge Infrastructure [en línea]. Estados Unidos, octubre 2018.
Disponible de world wide web:
https://cradlepoint.com/sites/default/files/upload-
file/magic_quadrant_for_wan_edge_351467.pdf
Cisco Visual Networking Index: Forecast and Trends, 2017–2022. Estados Unidos, febrero
2019. Disponible de world wide web:
https://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-
vni/white-paper-c11-741490.html#_Toc532256800
VPN: Estados Unidos, febrero 2006. Disponible de world wide web:
IPsec: Estados Unidos, febrero 2011. Disponible de world wide web:
https://tools.ietf.org/html/rfc6071#page-6
VRRP: Estados Unidos, abril 2004. Disponible de world wide web:
Página 71 de 78
Mariano Ducca
HIPAA: Estados Unidos, octubre 2008. Disponible de world wide web:
https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/securityrule/nist8006
6.pdf
PCI: Estados Unidos, abril 2016. Disponible de world wide web:
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf
SAS70: Estados Unidos, julio 2004. Disponible de world wide web:
https://csbweb01.uncw.edu/people/ivancevichd/Classes/MSA%20516/Supplemental%20Rea
dings/Supplemental%20Reading%20for%20Mon,%2011-
10/Supplemental%20Readings%20Week%209/Intro%20to%20SAS%2070%20Audits.pdf
SSAE16: Estados Unidos, abril 2010. Disponible de world wide web:
https://www.sqs-bfsi.com/_resources/isae3402-ssae16-acctng-stds.pdf
Página 72 de 78
Mariano Ducca
ANEXO A
Datasheets de equipos
Página 73 de 78
Mariano Ducca
Página 74 de 78
Mariano Ducca
Página 75 de 78
Mariano Ducca
Página 76 de 78
Mariano Ducca
Página 77 de 78

Tesis SDWAN Ducca

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis SDWAN Ducca

Cargado por

Copyright:

Formatos disponibles

PROYECTO FINAL DE INGENIERÍA

IMPACTO TECNOLÓGICO EN LA UTILIZACIÓN DE LAS REDES WAN,

UNIVERSIDAD ARGENTINA DE LA EMPRESA

Las redes WAN tradicionales presentan configuraciones estáticas, son difíciles de

Este trabajo de investigación contiene un informe de los costos que tienen en la

To solve WAN network’s problems, a new technological solution called SD-WAN

En primer lugar, me gustaría agradecer a toda la gente que me acompañó a lo largo de

En segundo lugar, me gustaría agradecerle a mi novia por haberme acompañado y

2.7.2 SD-WAN ................................................................................................................................. 34

ADSL Asymmetrical Digital Suscriber Line

1.1 Arte previo

Contratación de conectividad entre dos sitios:

Figura 1: Conectividad entre dos sitios

Comportamiento de un router cuando hay un enlace activo y un enlace de

Figura 2: Conectividad entre dos sitios con un enlace caído

Cuando se tienen dos enlaces y el enlace primario deja de funcionar, automáticamente

Los Routers actuales no son capaces de detectar este problema, y el proveedor de

Navegación hacia internet en una red MPLS:

1.2 Estado del arte

Se propone como solución para esta problemática una evolución en la arquitectura de

Figura 3: Cuadrante mágico de Gartner para proveedores de redes WAN

En el cuadrante mágico de Gartner se analiza dentro del mercado de tecnología

Para comenzar a hablar de una arquitectura SD-WAN es importante que se entienda el

Como se puede ver en la figura 4, se observa la progresión de aumento del tráfico IP

Figura 4: Aumento del tráfico IP

Figura 5: Aumento de adopción de tecnologías SaaS

2.1 Red WAN

Figura 6: Esquema de una red WAN

Figura 7: Servicios ofrecidos en una red WAN

2.1.1 Servicios en una red WAN

2.1.1.1 Servicios del lado del hogar

Figura 8: Cable Network (CATV)

Figura 9: DSL – Digital Subscriber Line

Tabla I: Conexiones asimétricas

Tabla II: Conexiones simétricas

2.1.1.2 Servicios del lado del operador

Líneas punto a punto

Figura 10: Leased Lines

La arquitectura del protocolo se divide en dos elementos fundamentales: los

Figura 11: Ejemplo de una red MPLS

2.1.2 Cálculo de conexiones de control

La cantidad de conexiones de control viene definida por la ley de Metcalfe, que

Su calculo se reduce al número de aristas de un grafo completo de n vértices:

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 ∗ (𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 − 1)

Suponiendo un cliente que tiene 8 sitios para interconectar:

Ahora si el cliente tiene 100 sitios:

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 ∗ (𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑠𝑖𝑡𝑖𝑜𝑠 − 1)

Es evidente que la complejidad de conexiones a medida que aumentan la cantidad de

2.2 Componentes de una red WAN

El router o enrutador es un componente esencial en una red WAN ya que es el

Figura 12: Routers Cisco de la familia ISR 4300

Un switch o conmutador es el componente mas utilizado en redes de área local (LAN),

Figura 13: Switches Cisco de la familia Catalyst 9300

El DSLAM (Digital Subscriber Line Access Multiplexor) es un dispositivo que

Figura 14: DSLAM

2.2.4 Módem xDSL

Figura 15: Módem ADSL

2.3 Topologías en Redes WAN

2.3.1 Hub and Spoke

Figura 16: Topologías de redes WAN

2.4 ¿Qué es una VPN?

La mayoría de las organizaciones que buscan proporcionar a los trabajadores remotos

2.4.1 ¿Qué es una VPN punto a punto?

Figura 17: Configuración típica para una VPN punto a punto