Lima, 07 de Agosto de 2006

Seores Telefnica del Per Atencin: Sr. Fernando Martua Jefe de Proyectos Especiales de Clientes Telefnica Negocios

Por medio de la presente, y luego de un cordial saludo, me dirijo a Ud. para presentarle un informe con respecto a la visita que realizramos la semana pasada a las instalaciones de red del cliente ROKYS, con la finalidad de tener una idea clara de las condiciones actuales de las mismas y proyectar las mejoras respectivas para implementar la solucin de manera satisfactoria. Antecedentes En las ultimas semanas , el cliente ROKYS ha reportado con frecuencia la prdida de conexin a Internet, pero esta NO obedece a un problema fsico de conectividad, sino a una saturacin de su ancho de banda producto del trfico generado por virus, troyanos y spyware que abren aleatoriamente una serie de puertos TCP / UDP. Gracias a los grficos proporcionados por Miguel Rosadio y al detalle de las tablas de traslacin proporcionado por Frano Passuni, se pudo sustentar el problema al cliente; este manifest lo siguiente: No existen polticas de control de trfico de Internet; todas las maquinas salen libremente por el default gateway. No cuentan con un Proxy con las debidas polticas de navegacin, es decir, la seguridad en este aspecto es nula. La empresa cuenta con un servicio de outsourcing de contabilidad (20 maquinas aproximadamente), que son las causantes de la mayor cantidad de trfico, dado que dicha rea es reacia a acatar las normas de administracin de red. Al hacerse una resolucin inversa de direccin IP a nombre de mquina; el cliente comprob que uno de los equipos que habra puertos aleatoriamente era de dicha rea.

Cabe sealar que , del ancho de banda contratado (Speedy 2000 al 70%), solo queda libre un 10%, lo cual nos traer problemas cuando se ponga en produccin los sistemas basados en SQL sobre las VPNs. Limpieza de la red e implementacin de polticas de seguridad Del punto anterior, podemos deducir que se hace necesaria la instalacin de alguna herramienta de antivirus / antispyware a nivel corporativo; para hacer la limpieza total de todas las computadoras que son parte de la red; sin importar si son propias o de terceros. Asimismo, es necesario modificar las polticas de seguridad del directorio activo de Windows 2003 para configurarle el entorno de trabajo a cada una de las estaciones, y verificar que en cada uno de los equipos, el usuario del dominio no sea administrador de su Windows XP local. Esta directiva impedir que el usuario pueda instalar o desinstalar programas no autorizados como el Messenger, Kazaa, Skype, y similares. Para controlar la navegacin en Internet, es recomendable instalar un Proxy (ISA Server 2004, Wingate, Winproxy), en donde se definan claramente las paginas autorizadas a visualizar, por cada usuario en forma individual o por cada rea; por ejemplo, los usuarios de contabilidad tendrian acceso nicamente a paginas como SUNAT, Aduanet, El Peruano, Banco de Crdito, etc. En las estaciones de trabajo de cada punto remoto, se aplicarn polticas de seguridad de Windows XP para restringir la navegacin en cada equipo.

Segmentacin del trfico de red mediante enlaces independientes Para garantizar la performance y buenos tiempos de respuesta, se sugiere separar el trfico de Internet (Navegacin, correo electrnico) del trfico de la cabecera hacia cada uno de los 40 puntos remotos (VPNs); esto se lograra mediante la instalacin de un Speedy convencional adicional de manera tal que ese trafico se enrute por esta lnea y no por la cabecera VPN. Con esta medida, se dejara libre el trfico de la cabecera VPN nicamente para atender peticiones de los SQL remotos de cada tienda; para lo cual solo seria necesario dejar abiertos los puertos TCP/UDP 1433 y 1434 (SQL) en el tunel y no en la interfase de Internet, adems de los puertos de comunicacin para la actualizacin de los antivirus desde el local central. Para el caso de la red del rea de Contabilidad, es necesario evaluar la implementacin de una subred independiente, mediante la colocacin de un router en su red LAN; de esta manera, estariamos separando ambas redes para garantizar la conectividad y seguridad de las mismas mediante la configuracin detallada de los puertos en dicho equipo. Balanceo de carga de las VPNs remotas El esquema de configuracin de la cabecera y 40 redes remotas no es el apropiado, por los siguientes motivos:

Si se produce la cada de la cabecera, cae toda la red completa; la intencin del cliente es trabajar con aplicaciones transaccionales distribuidas (MTS, .NET), replicando las transacciones casi en lnea de sus servidores SQL en cada tienda al servidor SQL central. El sistema operativo del equipo de comunicaciones CISCO puede verse saturado por una cantidad excesiva de conexiones desde las redes remotas, lo que ocasionara lentitud en el tiempo de respuesta y congestin del equipo.

La propuesta ptima es utilizar al menos DOS cabeceras, y realizar lo siguiente:

Balanceo de carga (de acuerdo a medicin de trfico por punto remoto, localizacin geogrfica, localizacin de plantas externas, o a gusto del cliente) entre los puntos remotos. Redundancia y enrutamiento automtico en caso de caidas, utilizando tneles dinmicos; de esta manera, si el remoto A no puede conectarse a la cabecera A, podria establecer el tnel en la cabecera B hasta que la conectividad sea re-establecida, sin que las operacin de la red se vea afectada.

Dimensionamiento a futuro de la plataforma de hardware (servidores) Al hacer una revisin del hardware de los servidores actualmente instalados, se detect que son obsoletos para el proyecto propuesto; por lo que se recomend al cliente la compra de al menos 01 servidor adicional para manejo de las bases de datos SQL de los siguientes sistemas que ya se encuentran en produccin. Contabilidad RR HH Finanzas Facturacin e Inventarios

A mediano plazo, el cliente tiene pensado poner en linea todos los locales con sus sistemas de Almacn y Delivery (actualmente inoperativos y en fase de estudio). De lo anteriormente expuesto, podemos deducir que si no se actualiza la plataforma de hardware, esta no podr responder a todas las peticiones de los clientes proyectados al final de la instalacin de los 40 puntos remotos (120 estaciones, esto es, 3 computadoras por local) ; mas 50 estaciones del local central; es decir,

la carga final de trabajo para dicho servidor ser de alrededor de 180 peticiones concurrentes y, en las condiciones actuales, no se podrn atender eficientemente. El dia de hoy se le remiti al cliente dos cotizaciones con precios referenciales de servidores HP modelos ML350 y ML 370 para que las revise detenidamente y pueda tomar una decisin a corto plazo. Diseo final de la RPS Speedy Si bien es cierto que el actual cronograma de instalaciones contempla una sola cabecera y 40 puntos remotos, el cliente tiene otras necesidades de interconexin para otros dos locales, que son: Almacn Central de Villa el Salvador (Km 17.5 Panamericana Sur) Central de llamadas de Delivery (Av. Venezuela).

El objetivo del cliente es que cada tienda pueda conectarse a sus sistemas de Almacen y manejar sus pedidos de mercaderia y reposicin de la misma; por otro lado, los pedidos que se recepcionen en la central de llamadas debern replicarse mediante el uso de componentes a un servidor central o a la tienda respectiva para que sean atendidos con rapidez (actualmente, este proceso se hace a mano y se envia el pedido por Fax) mediante el uso de componentes transaccionales (Visual Studio .NET). Si analizamos estas dos nuevas variables, veremos que no se trata nicamente de un diseo de red punto-multipunto, sino de un mesh (malla) , completo (multipunto total); cuya implementacin debe tener en cuenta alguna de estas tres opciones: 1. 2. 3. Uso de aplicaciones cliente-servidor (con un programa ejectuable): Necesariamente requerir de la conectividad usando VPNs por requerimientos de seguridad. Uso de aplicaciones basadas en .Net con servidores WEB: Solamente un Speedy convencional con salida a Internet; solo se requiere auntenticacin en el servidor web y en la aplicacin. Ambos tipos de aplicaciones indicadas en punto 1 y 2.

Se sugiere revisar detenidamente el cronograma de instalaciones con el cliente y definir este punto por ser de suma importancia para llevar adelante el proyecto; se recomienda instalar paulatinamente los puntos remotos siempre y cuando se hayan realizado las pruebas de sus aplicaciones sobre los enlaces y estas hayan sido satisfactorias en su totalidad. Finalmente, es necesario contar con un producto ya homologado en lo que a tneles multipunto se refiere; se recomienda hacer las pruebas respectivas antes de ofrecerle dicha solucin al cliente; siempre y cuando se tenga la certeza que esta no presentar fallas una vez puesta en produccin. Sin mas por el momento, y esperando que el presente informe sea de utilidad para llevar a buen trmino este proyecto, quedo de Ud. Atentamente. Franco Valle Melgar Microsoft Certified Professional Systems Engineer Email: fvalle@socopur.com Movil: 01-97564875