Universidad Nacional Mayor de San Marcos

Universidad del Perú. Decana de América

Facultad de Ingeniería de Sistemas e Informática
Escuela Profesional de Ingeniería de Sistemas

Optimización de la infraestructura de red LAN y

WAN, para las empresas del grupo Inversiones Educa
S.A. basado en la metodología PPDIOO Cisco INC.

TRABAJO DE SUFICIENCIA PROFESIONAL

Para optar el Título Profesional de Ingeniero de Sistemas

AUTOR
Miguel Ángel TORIBIO SARMIENTO

ASESOR
Raúl Marcelo ARMAS CALDERÓN

Lima, Perú

2021
Reconocimiento - No Comercial - Compartir Igual - Sin restricciones adicionales

[Link]
Usted puede distribuir, remezclar, retocar, y crear a partir del documento original de modo no
comercial, siempre y cuando se dé crédito al autor del documento y se licencien las nuevas
creaciones bajo las mismas condiciones. No se permite aplicar términos legales o medidas
tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita esta licencia.
Referencia bibliográfica

Toribio, M. (2021). Optimización de la infraestructura de red LAN y WAN, para las

empresas del grupo Inversiones Educa S.A. basado en la metodología PPDIOO
Cisco INC. [Trabajo de Suficiencia Profesional de pregrado, Universidad Nacional
Mayor de San Marcos, Facultad Ingeniería de Sistemas e Informática, Escuela
Profesional de Ingeniería de Sistemas]. Repositorio institucional Cybertesis
UNMSM.
 Metadatos complementarios

Datos de autor

Nombres y apellidos Miguel Ángel Toribio Sarmiento

DNI 46580775

URL de ORCID [Link]

Datos de asesor

Nombres y apellidos Raúl Marcelo Armas Calderón

DNI 07156168

URL de ORCID [Link]

Datos de investigación

Línea de investigación - Redes de Datos

- Tecnologías IP
- Gestión de los Sistemas informáticos y de la
información

Grupo de investigación GI12 INFRAESTRUCTURA TECNOLÓGICA, REDES DE

COMUNICACIONES, SEGURIDAD INFORMÁTICA,
SEGURIDAD DE LA INFORMACIÓN
Agencia de financiamiento Financiamiento Propio

País: Perú
Departamento: Lima
Ubicación geográfica de la
Provincia: Lima
investigación
Distrito: Carabayllo
Latitud: -11.897608
Longitud: -77.034982
Año o rango de años en que se
Abril 2019 – Agosto 2019
realizó la investigación
Ingemiería de Sistemas y Comunicaciones
URL de disciplinas OCDE [Link]
Telecomunicaciones
[Link]
Hardware, Arquitectura de computadoras
[Link]
 UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA
Escuela Profesional de Ingeniería de Sistemas

Acta Virtual de Sustentación

del Trabajo de Suficiencia Profesional

Siendo las 19:00 horas del día 21 de julio del año 2021, se reunieron virtualmente los
docentes designados como Miembros de Jurado del Trabajo de Suficiencia Profesional,
presidido por el Ing. Rodríguez Rodríguez Ciro (Presidente), Ing. Cordero Sánchez
Hugo Rafael (Miembro) y el Ing. Armas Calderón Raúl Marcelo (Miembro Asesor),
usando la plataforma Meet ([Link] para la
sustentación virtual del Trabajo de Suficiencia Profesional intitulado:
“OPTIMIZACIÓN DE LA INFRAESTRUCTURA DE RED LAN Y WAN, PARA
LAS EMPRESAS DEL GRUPO INVERSIONES EDUCA S.A. BASADO EN LA
METODOLOGÍA PPDIOO CISCO”, por el Bachiller Toribio Sarmiento Miguel
Angel; para obtener el Título Profesional de Ingeniero de Sistemas.

Acto seguido de la exposición del Trabajo de Suficiencia Profesional, el Presidente

invitó al Bachiller a dar las respuestas a las preguntas establecidas por los miembros
del Jurado.

El Bachiller en el curso de sus intervenciones demostró pleno dominio del tema, al

responder con acierto y fluidez a las observaciones y preguntas formuladas por los
señores miembros del Jurado.

Finalmente habiéndose efectuado la calificación correspondiente por los miembros del

Jurado, el Bachiller obtuvo la nota de 16 DIECISÉIS.

A continuación el Presidente de Jurados el Ing. Rodríguez Rodríguez Ciro, declara al

Bachiller Ingeniero de Sistemas.

Siendo las 19:55horas, se levantó la sesión.

___________________
Presidente
Ing. Rodríguez Rodríguez Ciro

____________________ ______________________
Miembro Miembro Asesor
Ing. Cordero Sánchez Hugo Rafael Ing. Armas Calderón Raúl Marcelo
Dedicatoria

A mis Padres por todo el apoyo, dedicación

Valores inculcados y todo su amor que me
brindaron,
Y a mis hijos por ser la motivación más grande
que uno puede tener.

2
AGRADECIMIETO:

Agradecer a mis padres por darme todo y acompañarme en cada etapa importante de mi
vida, A mi hermano por sus consejos en cada decisión y proyecto emprendido.

A mi esposa y a mis hijos por todo su apoyo y motivación brindado.

3
 TABLA DE CONTENIDO
Índice de Figuras 5
Índice de Tablas 7
RESUMEN 9
INTRODUCCION 11
CAPITULO I - TRAYECTORIA PROFESIONAL 12
CAPITULO II - CONTEXTO EN EL QUE SE 20
DESAROLLO LA EXPERIENCIA
2.1 EMPRESA - ACTIVIDAD QUE REALIZA 20
2.2 VISION 21
2.3 MISION 21
2.4 ORGANIZACION DE LA EMPRESA 21
2.5 AREA, CARGO Y FUNCIONES DESEMPEÑADAS 22
2.6 EXPERIENCIA PROFESIONAL REALIZADA EN LA 22
ORGANIZACIÓN
CAPITULO III - ACTIVIDADES DESARROLLADAS 23
3.1 SITUACION PROBLEMÁTICA 23
3.1.1 DEFINICION DEL PROBLEMA 23
3.2 SOLUCION 24
3.2.1 OBJETIVOS 24
3.2.2 ALCANCE 25
3.2.3 ETAPAS Y METODOLOGIA 27
3.2.4 FUNDAMENTOS UTILIZADOS 34
3.2.5 PLANIFICACION,DISEÑO E IMPLEMENTACION 50
DE UNA RED CORPORATIVA LAN Y WAN HACIENDO
USO DE BUENAS PRACTICAS
3.3 EVALUACION 143
3.3.1 EVALUACION ECONOMICA 143
CAPITULO IV. REFLEXION CRITICA DE LA 148
EXPERIENCIA
4.1 APORTE/LECCIONES APRENDIDAS/EN QUE SE 148
PUEDE MEJORAR
CAPÍTULO V. CONCLUSIONES Y 149
RECOMENDACIONES
5.1 CONCLUSIONES 149
5.2 RECOMENDACIONES 149
FUENTES DE INFORMACIÓN 150
GLOSARIO 151
ANEXOS – Documentación Adicional 152

4
 INDICE DE FIGURAS

Figura 1. "Organigrama Inversiones Educa S.A" 21

Figura 2. "Organigrama Área TI - Inversiones Educa S.A.” 25
Figura 3. Lima Metropolitana 26
Figura 4. Dirección Fiscal Inversiones Educa. S.A 26
Figura 5. Cisco PPDIOO Ciclo de Vida de una RED 27
Figura 6. Metodología Agile SCRUM 31
Figura 7. Modelo Jerárquico Cisco inc 34
Figura 8. Modelo Enterprise Campus Cisco inc 35
Figura 9. Clases de Direccionamiento IP Privado 38
Figura 10. Protocolo HSRP Funcionamiento 39
Figura 11. Calidad de servicio Telefonía Voip 41
Figura 12. Funcionamiento sdwan 42
Figura 13. Tipos de Tecnologías WAN 43
Figura 14. Tecnología MPLS 45
Figura 15. Zona Desmilitarizada 46
Figura 16. Modelo Top and down – Diseño 47
Figura 17. Topología Full Mesh 47
Figura 18. Componentes Stack 48
Figura 19. Formato Control de Cambios 56
Figura 20. Topología de RED FISICA – WAN IEDUCA 88
Figura 21. Topología de RED SDWAN –IEDUCA 91
Figura 22. Topología de Telefonía IP 93
Figura 23. Calidad de Servicio WAN 99
Figura 23. Grupos de Active Directory 106
Figura 25. Servidores AD Certus 106
Figura 26. Colector FSSO 107
Figura 27. Servidores LDAP – Fortigate 107
Figura 28. Servidores LDAP – ieduca [Link] 108
Figura 29. VPN SSL – Restricciones por País 108
Figura 30. Sensor IPS 109
Figura 31. Topología DMZ 110
Figura 32. Listado de IPS nateadas 111
Figura 33. Configuración DNS Primario y Secundario 112
Figura 34. Configuración Traffic Shaper – Fortigate 113
Figura 35. Configuración Policy Horarios 113
Figura 36. Configuración Policy Horarios 123
Figura 37. Trafico Interface Eth1/1 124
Figura 38. Cantidad de Errores Físicos – Interface LAN 124
Figura 39. Estatus Etherchannel 125
Figura 40. Cantidad de Paquetes trafico Multicas, Unicast 125
Figura 41. Historial de consumo CPU Sw core 125
Figura 42. Espacio disponible memoria – sw core 126
Figura 43. Listado de Interfaces - sw distribución 126
Figura 44. Trafico Interface troncal hacia sw core 126
Figura 45. Estatus Interfaces PorthChannel – sw distribución 127
5
Figura 46. Cantidad de Errores Acumulados 127
Figura 47. Cantidad de paquetes trafico multicas y broadcast 128
Figura 48. Historial de consumo Cpu – sw distribución 128
Figura 49. Cantidad de memoria disponible 128
Figura 50. Listado de Interfaces - sw Access 129
Figura 51. Trafico interface troncal sw Access 129
Figura 52. Cantidad de errores físicos – sw Access 130
Figura 53. Cantidad de paquetes de trafico multicast, broadcast 130
Figura 54. Configuración Switches Access modo Stack – Javier Prado 131
Figura 55. Historial consumo cpu – sw Access 131
Figura 56. Cantidad de memoria disponible – sw Access 132
Figura 57. Cantidad VLANS creadas – sw core 132
Figura 58. Configuración STP – sw core 132
Figura 59. Tabla de enrutamiento – sw core 133
Figura 60. Listado de rutas estáticas – sw core 133
Figura 61. Configuración HSRP – Alta disponibilidad SW CORE 133
Figura 62. Cantidad de Vlans – sw distribución 134
Figura 63. Protocolo STP – sw distribución 134
Figura 64. Cantidad de vlans credas – sw Access 134
Figura 65. Protocolo STP – sw Access 135
Figura 66. Usuarios de conexión sw core 135
Figura 67. Usuarios de conexión sw distribución 135
Figura 68. Listas de Accesos – sw distribución 135
Figura 69. Conexión virtual telnet ssh 136
Figura 70. Configuración Interface sw access 136
Figura 71. Configuración Lista de Acceso 136
Figura 72. Conexión virtual telnet ssh – sw Access 137
Figura 73. Usuarios de conexión sw Access 137
Figura 74. Trafico consumo Internet – TLS router principal 140
Figura 75. Consumo de CPU router principal tls 140
Figura 76. Consumo de memoria router principal tls 140
Figura 77. Trafico consumo Internet – CERTUS router principal 141
Figura 78. Consumo de CPU router principal certus 141
Figura 79. Consumo de memoria router principal certus 141
Figura 80. Herramienta de Monitoreo Switches Core Certus - Cacti 142
Figura 81. Trafico consumo de red Router Sede surco – certus 142

6
 INDICE DE TABLAS
Tabla 1. Áreas de Conocimiento y Grupos de procesos PMI 30
Tabla 2. Componentes Básicos de Scrum 31
Tabla 3. Metodología de Diseño PPDIOO 33
Tabla 4. Lista de Entregable 52
Tabla 5. Lista de Entregables 52
Tabla 6. Ítems de Presupuestas 53
Tabla 7. Ítems de Recursos 55
Tabla 8. Descripción de Riesgos 55
Tabla 9. Descripción de Roles 58
Tabla 10. Cronograma de Actividades – 64 66
Tabla 11. Inventario de Servidores - 65 67
Tabla 12. Inventario de Servidores Privados 68
Tabla 13. Inventario de Servidores Públicos 68
Tabla 14. Inventario de Servidores Públicos 69
Tabla 15. Inventario de Segmentos de RED y VLAN 69
Tabla 16. Inventario de Reglas de Firewall 72
Tabla 17. Inventario de Sistemas de Call Center IEDUCA 73
Tabla 18. Inventario de Centrales telefónicas IEDUCA 73
Tabla 19. Inventario de Cámaras IP 75
Tabla 20. Inventario de Dispositivos NVR/DVR 75
Tabla 21. Direcciones de Sedes y Unidades de Negocio 78
Tabla 22. Anchos de banda requeridos Internet y MPLS 79
Tabla 23. Características de Seguridad Firewall 80
Tabla 24. Características de Seguridad Firewall DMZ 80
Tabla 25. Listado Equipos Soporte SMARNET 81
Tabla 26. Listado de comandos CLI 83
Tabla 27. Inventario Equipos Certus sede Principal 86
Tabla 28. Plan de Direccionamiento IP Sedes (molina, chacarilla, surco) 95
Tabla 29. Resumen Sumarizado Direccionamiento IP Sedes IEDUCA 96
Tabla 30. Listado Equipamiento Router 97
Tabla 31. Listado Equipamiento Lan 97
Tabla 32. Listado Equipamiento Firewall y DMZ 98
Tabla 33. Listado Equipamiento Faz y Componentes 98
Tabla 34. Configuración Interface Lan 101
Tabla 35. Perfiles de Navegación WEB 105
Tabla 36. Configuración Interface LAN – Port Security 110
Tabla 37. Cableado Estructurado – Sede TLS Javier Prado 122
Tabla 38. Plantillas de configuración SW CORE 137
Tabla 39. Análisis WAN ICMP 138
Tabla 40. Análisis WAN Internet 139
Tabla 41. Gastos mensuales servicio de internet 2018 143
Tabla 42. Lista de costos por licencia CCVOX 144
Tabla 43. Lista de costos por licencia Genesys 144
Tabla 44. Gastos mensuales servicio de internet 2019 145

7
 FICHA CATALOGRAFICA

OPTIMIZACION DE LA INFRAESTRUCTURA DE RED LAN Y WAN, PARA LAS

EMPRESAS DEL GRUPO INVERSIONES EDUCA S.A. BASADO EN LA
METODOLOGIA PPDIOO CISCO INC.

AUTOR: TORIBIO SARMIENTO, MIGUEL

ASESOR: ARMAS CALDERON, RAUL

LIMA- PERU, 2021.

TITULO PROFESIONAL: Ingeniero de Sistemas

AREA/PROGRAMA/LINEA DE INVESTIGACION:

Ingenierías / Plataforma TIC / Redes TIC

PREGRADO: Universidad Nacional Mayor de San Marcos – Facultad de Ingeniería de

Sistemas e informática – Escuela Profesional de Ingeniería de Sistemas.

Formato 28 x 20 cm Páginas:165

8
 UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Optimización de la infraestructura de red LAN y WAN, para las empresas del grupo
Inversiones Educa s.a. basado en la metodología PPDIOO cisco inc.

Autor: Toribio Sarmiento, Miguel

Asesor: Armas Calderón, Raúl
Título: Trabajo de Suficiencia Profesional para optar el Título Profesional de Ingeniera
de Sistemas
Fecha: Junio de 2021

RESUMEN

El presente trabajo de suficiencia profesional detalla los pasos que se ejecutaron durante el proyecto
de Optimización de la infraestructura de Red Lan y WAN para las empresas del grupo Inversiones
Educa S.A., para lo cual se aplicó la Metodología de Diseño PPDIOO de Cisco inc.

El principal objetivo de este proyecto es Optimizar la Red actual que poseen las 3 unidades de
negocio Certus, Toulouse, y Ucal en una sola red empresarial que brinde funcionalidades de Alta
disponibilidad, tolerancia a fallos, escalabilidad, calidad de servicio y seguridad perimetral.

Adicionalmente esta nueva arquitectura de red brinda la facilidad de compartir recursos entre las 3
empresas sin necesidad de incurrir en gastos operativos o tener que hacer inversiones a largo plazo.

La coyuntura actual de pandemia hizo que muchas empresas den saltos agigantados en inversión para
mejorar su infraestructura a nivel de disponibilidad de internet y principalmente reforzar aspectos de
seguridad, la nueva red implementada para Inversiones Educa S.A. posee alta resiliencia a este
cambio debido a que se implementó la funcionad de SDWAN tecnología que brinda la ventaja de
optimizar el uso de internet al tener 2 canales disponibles y en el aspecto de seguridad se reforzó esta
capa con 2 firewall perimetrales.

Palabras claves: Optimización, Alta Disponibilidad, PPDIOO, Seguridad Perimetral, SDWAN

9
 NATIONAL MAJOR UNIVERSITY OF SAN MARCOS
FACULTY OF SYSTEMS ENGINEERING AND INFORMATIC
PROFESSIONAL SCHOOL OF SYSTEMS ENGINEERING

Optimization of the LAN and WAN network infrastructure, for the companies of the
Inversiones Educa S.A group. based on the PPDIOO Methodology cisco inc.

Author: Toribio Sarmiento, Miguel

Advisor Armas Calderón, Raúl
Title: Work of Professional Sufficiency to opt for the Professional Title of Systems
Engineering
Date: Junio de 2021

ABSTRACT
This work of professional sufficiency details the steps that were executed during the project of
Optimization of the Red Lan and WAN infrastructure for the companies of the Inversiones Educa
S.A. group, for which the PPDIOO Design Methodology of Cisco Inc.

The main objective of this project is to Optimize the current Network that the 3 Certus, Toulouse,
and Ucal business units have in a single business network that provides High availability, fault
tolerance, scalability, quality of service and perimeter security functionalities. Additionally, this new
network architecture provides the facility to share resources between the 3 companies without
incurring operating expenses or having to make long-term investments.

The current pandemic situation made many companies take giant leaps in investment to improve
their infrastructure at the level of internet availability and mainly to reinforce security aspects, the
new network implemented for Inversiones Educa S.A. It has high resilience to this change due to the
fact that the SDWAN technology function was implemented that provides the advantage of
optimizing the use of the Internet by having 2 channels available and in the security aspect, this layer
was reinforced with 2 perimeter firewalls.

Keywords: Optimization, High Availability, PPDIOO, Perimeter Security, SDWAN

10
 INTRODUCCION

El presente trabajo de experiencia profesional describe el Proyecto de Análisis, Diseño e

implementación de una Red LAN y WAN Centralizada, tomando como referencia
La metodología de Diseño PPDIOO de Cisco inc., La funcionalidad de SDWAN de Fortinet
inc., y Finalmente para la ejecución del proyecto la metodología de PMI.
Inversiones Educa S.A. brinda soporte Financiero, Logístico y Tecnológico a las 3 Unidades
de Negocio del Rubro Educación en el Perú, Integrada por los Institutos Certus, Institutos
Toulouse Lautrec y la Universidad UCAL. En este informe nos centraremos en el Análisis,
Diseño e Implementación de la Arquitectura de RED Privada, con el fin de buscar optimizar
el uso de los recursos entre todas las sedes correspondientes a cada Une y establecer
comunicación directa entre todas, gracias a las buenas practicas del modelo Jerárquico
establecido por Cisco y durante toda la ejecución del proyecto aplicando las buenas prácticas
de la metodología PMI.

El trabajo de suficiencia profesional fue abordado a través del siguiente contenido:

En el CAPITULO I se detalla en orden crónico cargos y tareas desempeñadas, en los

diferentes centros de labor público o privado, se precisa también la experiencia laboral
generada.

En el CAPITULO II se hace mención a la información correspondiente al Holding educativo del

grupo Enfoca, Inversiones Educa S.A. aquí se detalla su organigrama, visión, misión y una breve
descripción de los servicios que ofrece.

El CAPITULO III brinda el detalle de las actividades dedicadas a Optimizar la

infraestructura de RED LAN y WAN la cual brinde Alta Disponibilidad, escalabilidad,
calidad de servicio y seguridad entre todas las Unes de INVERSIONES EDUCA S.A.,
específicamente el desarrollo del proyecto se basó en el uso de la metodología PPDIOO.

El CAPITULO IV se refiere al aporte del autor, el desarrollo profesional que le demandó,

las necesidades que se atendieron, la experiencia y la capacitación requeridas.

El CAPITULO V muestra las conclusiones y recomendaciones finales.

11
CAPITULO I - TRAYECTORIA PROFESIONAL

1.1 PRESENTACION PROFESIONAL

El autor del presente trabajo cuenta con el grado de Bachiller en la carrera de Ingeniería de
Sistemas de la Universidad Nacional Mayor de San Marcos. Cuento con Certificaciones de
distintas marcas como Cisco Certified Network Associate (CCNA), Network Security
Professional (NSE4), ITIL Foundation, y Scrum Foundation Professional Certificate. Poseo
Habilidades en Networking, Servidores, Ejecución de Proyectos con Metodologías Agiles,
Ciberseguridad, Telefonía IP, Soluciones de Redes Inalámbricas, Implementación de Data
Center, con una trayectoria de más de 5 años de experiencia laboral en el área de
Infraestructura & Networking.

1.2 EXPERIENCIA PROFESIONAL

Enero 2019 - INVERSIONES EDUCA S.A.

Actualidad Cargo: Administrador de Red

✓ Administración Networking UNES (CERTUS - UNIVERSIDAD

UCAL - TOULOUSE)
✓ Administración Soluciones Inalámbricas Wifi (Aruba, Aironet,
Meraki)
✓ Administración Soluciones Colaboración (AVAYA, CISCO)
✓ Administración de Telefonía IP Centrales Telefónicas (AVAYA,
CISCO)
✓ Administración de Telefonía VOIP (Genesys, CCVOX)
✓ Administrador de Servidores DHCP, DNS, FTP, ActiveDirectory
✓ Administración de Sistema de Video Vigilancia (DVR, NVR,
ALHUA, Cámaras IP DOMO)
✓ Administración de SIP TRUNK, PRIMARIOS E1
✓ Administración de Equipos WAN (CPE, MEDIA CONVERTER)
✓ Monitoreo de RED herramientas (CACTI, PRTG, ZABBIX)

12
 ✓ Diseño e Implementación de Nuevas Sedes y Data Center, Cuartos
de Comunicaciones, Cableado Estructurado.
✓ Análisis de Cobertura de Red Wifi (EKAHAU)
✓ Administración de Servicios Clearpass CPPM, MobilityMaster,
Airwave
✓ Atención de Requerimientos e Incidencias.
✓ Gestor de Proyectos de Telecomunicaciones.
✓ Configuración de Equipos LAN - WAN - WIRELESS –
TELEFONIA - FIREWALL
✓ Estructuración de Roles y Políticas en equipos de seguridad
perimetral (Firewall)
✓ Documentación de procedimientos y diagramas de nuevas
implementaciones.
✓ Ejecución de Proyectos Agiles (SCRUM), PMP
✓ Integración de Active Directory – Firewall Fortinet.
✓ Seguridad Perimetral Fortinet (Políticas de Firewall,
Nat/Autenticación, Web Filtering/Antivirus, Proxies, Control de
Apps, VPN IPSec, VPN SSL, Alta disponibilidad HA).

Octubre 2018 GRUPO EDUCA_d

– Marzo - Cargo: Coordinador de RED
2019
✓ Administrador de RED (SISE - UNIVERSIDAD CIENTÍFICA -
USISE)
Atención de Requerimientos e Incidencias.
✓ Gestor de Proyectos de Telecomunicaciones.
✓ Configuración de Equipos LAN - WAN - WIRELESS –
TELEFONIA – FIREWALL
✓ Estructuración de Roles y Políticas en equipos de seguridad
perimetral (Firewall)
✓ Diseño y Segmentación de Red.
✓ Diseño, Implementación, y Despliegue de Eventos Universitarios.
✓ Troubleshooting y Publicación de servicios.
13
 ✓ Implementación del servicio WiFi Meraki en todas las sedes.
✓ Implementación de servidor tacacs+ basado en Linux
(autenticación
de ingreso hacia los equipos de comunicaciones).
✓ Documentación de procedimientos y diagramas de nuevas
implementaciones.
✓ Migración de Operador Claro a Optical Networks.
✓ Elaboración del Assessment de redes y comunicaciones.
✓ Capacitaciones al personal de redes.
✓ Implementación de nuevas redes (nuevas sucursales tecnología
Meraki).
✓ Integración de Active Directory – Firewall Fortinet.
✓ Seguridad Perimetral Fortinet (Políticas de Firewall,
✓ Nat/Autenticación, Web Filtering/Antivirus, Proxies, Control de
Apps, VPN IPSec, VPN SSL, Alta disponibilidad HA).

Septiembre CLOUDSOC PERU S.A.C

2017 – Cargo: INGENIERO DE SOPORTE CORPORATIVO
Septiembre Proyecto: América Móvil S.A.
2018
✓ GRUPO INTERCORP RETAIL (Plaza Vea, Homecenter,
Financiera Oh!, oeschle)
✓ Instalaciones, bajas, Upgrade, migraciones de Servicios RPV
(VPN), Servicios de Telefonía, Servicios Monitoreo de Red
Avanzado en Equipos de diferentes marcas
(CISCO Series 2911, 2811, ISR, ASR, GSR, 890 – HUAWEI –
ALCATEL Series 7750,7705 – JUNIPER) aplicando Calidad de
Servicio QOS, Voip, HSRP, protocolos EIGRP, RIP, BGP, OSPF.
✓ Instalación de Enlaces Microondas en Equipos (CERAGON –
NEC – UBIQUITI -CAMBIUM).
14
 ✓ Instalación y configuración de Routers y Switches en L3 (Ruteo
Estático, Dinámico, Alta disponibilidad) en L2 (Vlan, Trunk,
Etherchannel, Qos, Balanceo de Carga, Análisis de Redes.
✓ Administración Red WAN / LAN / Centrales Telefónicas.
✓ Coordinación con el personal de mantenimiento, la atención de las
averías en las sedes del cliente.
✓ Generación de Tickets de averías, requerimientos y escalamiento
✓ Elaboración de Plan de contingencia y Alta disponibilidad a nivel
LAN.
✓ Monitoreo proactivo de enlaces redundantes
✓ Preparar informes y reportes de SLA y Averías Masivas.
✓ Pruebas de redundancia y backups para lograr la alta
disponibilidad.
Coordinación y Ejecución de Mantenimientos Preventivos en los
equipos de red a nivel nacional.
✓ Seguridad Perimetral Fortinet (Políticas de Firewall,
Nat/Autenticación, Web Filtering/Antivirus, Proxies, Control de
Apps, VPN IPSec, VPN SSL, Alta disponibilidad HA).

Marzo 2017 – CORPORACION SAPIA S.A.

Agosto 2017 Cargo: INGENIERO RESIDENTE
Proyecto: América Móvil S.A.

✓ GRUPO RIPLEY – GRUPO SAGA FALABELLA (Ripley,

Tottus, PROMART, Saga Falabella, Banco Falabella, Banco
Ripley).
✓ Instalaciones, bajas, Upgrade, migraciones de Servicios RPV
(VPN), Servicios de Telefonía, Servicios Monitoreo de Red
Avanzado en Equipos de diferentes marcas
(CISCO Series 2911, 2811, ISR, ASR, GSR, 890 – HUAWEI –
ALCATEL Series 7750,7705 – JUNIPER) aplicando Calidad de
Servicio QOS, Voip, HSRP, protocolos EIGRP, RIP, BGP, OSPF.

15
 ✓ Instalación de Enlaces Microondas en Equipos (CERAGON –
NEC – UBIQUITI -CAMBIUM).
✓ Instalación y configuración de Routers y Switches en L3 (Ruteo
Estático, Dinámico, Alta disponibilidad) en L2 (Vlan, Trunk,
Etherchannel, Qos, Balanceo de Carga, Análisis de Redes.
✓ Administración Red WAN / LAN / Centrales Telefónicas.
✓ Seguimiento a los tickets de atención generados.
✓ Planificación, diseño e implementación de alta disponibilidad y
redundancia en la red del cliente.
✓ Elaborar reportes de SLA y Averías Masivas.
✓ Informar diariamente al cliente sobre el estado de su red,
coordinando reuniones. presenciales de ser necesario.
✓ Pruebas de redundancia y backups para lograr la alta
disponibilidad.
Coordinación y Ejecución de Mantenimientos Preventivos en los
equipos de red a nivel nacional.
✓ Seguridad Perimetral Fortinet (Políticas de Firewall,
Nat/Autenticación, Web Filtering/Antivirus, Proxies, Control de
Apps, VPN IPSec, VPN SSL, Alta disponibilidad HA).

Enero 2015 – OESIA PERU SAC

Febrero 2017 Cargo: PROFESIONAL REDES LAN/WAN
Proyecto: Telefónica del Perú S.A.

INGENIERO RESIDENTE MINERA BROCAL Y MAPFRE

16
 ✓ Administración del CUCM - Wireless LAN Controller - Access
Point
✓ Administración de redes WAN Y LAN
✓ Instalación, Configuración y equipos de comunicaciones (Router,
Switches, AP’s)
✓ Gestión de Averías y Requerimientos
✓ Manejo de Herramientas de monitoreo (Spectrum – Solarwinds –
iDirect – iMonitor- Bifrost – iBuilder – PRTG – Sigmars – HP
OPEN View)
✓ Configuración de equipos Cisco para servicios: Internet, IP-VPN,
DIGIRED (Telefónica del Perú) para diferentes empresas,
aplicando Calidad de Servicio QOS, Voip, HSRP, protocolos
EIGRP, RIP, BGP, OSPF.
✓ Gestión de averías desplazamiento de personal de empresas
colaboradoras ([Link] MANTTO, DOMINION).
✓ Telefonía IP Hosteada.
✓ Telefonía IP Gestionada.
LAN Gestionada.
✓ Cumplimiento de SLA.
✓ Elaboración de Backups - Informes Mensuales.
✓ Gestión de garantías RMA CISCO.
✓ Monitorio de Circuitos Digitales (Routers - Switches).

1.3 FORMACION ACADEMICA

2009 - 2015 Grado Académico Bachiller en Ingeniería de Sistemas – Escuela

Académico Profesional en Ingeniería de Sistemas - Facultad de
Ingeniería de Sistemas e Informática - Universidad Nacional
Mayor de San Marcos.

17
1.4 CERTIFICADOS

Septiembre CCNA: Enterprise Networking, Security, and Automation.

2020
Julio 2020 Introducción to Cybersecurity.

Agosto 2020 Scrum Foundation Professional Certificate.

Enero 2017 CCNA: Switching, Routing, and Wireless Essentials.

Junio 2020 CCNA: Introducción to Networks.

Febrero 2021 NSE 4 Network Security Professional.

Agosto 2017 Itil Foundation Certificate.

1.5 IDIOMAS

2015 - 2016 Británico – Ingles nivel intermedio

1.6 OTROS CONOCIMIENTOS

PROGRAMACION Python, JEE, Android, Ruby, Django.

S.O. Windows 10,9,7, RHEL, Ubuntu, Fedora,CentOS,Debian.

SISTEMAS DE BD SQL, MYSQL.

VIRTUALIZACION VMWARE, VEEM, CITRIX.

COLABORACION AVAYA , CISCO CUCM.

18
WIFI ARUBA CPPM, ARUBA Mobility Master, Airwave, Meraki,
Aironet.

CENTRALES VOIP GENESYS, CCVOX,Asterisck.

LICENCIA DE Categoría A1.

CONDUCIR

19
CAPITULO II - CONTEXTO EN EL QUE SE DESAROLLO LA EXPERIENCIA

2.1. EMPRESA - ACTIVIDAD QUE REALIZA

INVERSIONES EDUCA S.A. es un Holding de sector Educación del Grupo ENFOCA

quien brinda soporte TI, FINANZAS, LOGISTICA a sus 3 Unidades de Negocio que son

✓ Institutos Certus
✓ Institutos Toulouse Lautrec
✓ Universidad de Ciencias y Artes de América Latina - UCAL

Datos de Empresa: Razón Social: Inversiones Educa S.A.

Domicilio Legal: Av. Primavera Nro. 970 Santiago de Surco - Lima
Teléfono: 630-7272
RUC: 20544705688

Socios Estratégicos – Vendor

- CISCO
- AVAYA
- FORTINET
- ARUBA / HP
- CISCO MERAKI
- HUAWEI
- ERP SAP FIORI
- VMWARE
- LENOBO

20
2.2. VISION

Ser líderes en inclusión educativa, innovación académica y crecimiento de negocio

400x600x250.

2.3. MISION

Impulsar a más personas a liberar su potencial para lograr sus objetivos de vida y construir
una mejor sociedad.

2.4. ORGANIGRAMA

Organigrama:
A continuación, se muestra en la Figura 1 la Estructura de organización de INVERSIONES
EDUCA S.A.

Figura 1. "Organigrama Inversiones Educa S.A."

Fuente: (Intranet Interna – Ieduca 2019)

21
2.5. AREA, CARGO Y FUNCIONES DESEMPEÑADAS

Durante la ejecución del proyecto el autor del informe se desempeñó como Líder Técnico y
a la fecha ocupa el puesto de Administrador de Red, en el área de Infraestructura de
INVERIONES EDUCA S.A.

2.6. EXPERIENCIA PROFESIONAL REALIZADA EN LA ORGANIZACIÓN

Responsabilidades:
✓ Realizar el levantamiento de Información de Cada UNEs, Sedes Remotas y Data
Center.
✓ Análisis y Diseño de nuevo esquema de Direccionamiento IPv4
✓ Configuración de Nuevo Esquema de Direccionamiento IPv4 Equipos L2/L3
✓ Ordenamiento LAN a nivel del esquema de nuevo Direccionamiento IPv4
✓ Orientar al personal de Soporte a configurar las nuevas direcciones IPv4 (FIJA,
DINAMICO)
✓ Elaborar Checklist Final
✓ Elaborar Plan de Trabajo y Plan de Rollback
✓ Elaborar Plan de Pruebas
✓ Validación de Informes Técnicos Recorrido de Ingreso de Fibra Óptica a cada Sede.
✓ Configuración Equipos CORE L3 Direccionamiento IPv4
✓ Elaboración de Gantt Final del Proyecto
✓ Apoyar al proveedor a realizar la Cross conexión entre equipos Router y Core L3
✓ Elaboración de Plan de Pruebas de Conexión
✓ Elaboración de Plan de Pruebas de Calidad de Servicio
✓ Elaboración de Plan de Pruebas de Alta Disponibilidad
✓ Elaboración de Plan de Pruebas de Saturación de BW
✓ Elaboración de Plan de Pruebas de Features de Firewall
✓ Elaboración de CheckList de comunicación a servicios y Servidores
✓ Apoyar al proveedor en Ordenamiento de Políticas IPv4 Firewall
✓ Apoyar al proveedor en el levantamiento y depuración de Políticas IPv4 Firewall
✓ Apoyar al proveedor en la Ejecución de Enrutamiento hacia sedes Remotas.
22
CAPITULO III - ACTIVIDADES DESARROLLADAS
3.1. SITUACION PROBLEMÁTICA

3.1.1 DEFINICIÓN DEL PROBLEMA

Inversiones Educa S.A. brinda soporte Financiero, Logístico y Tecnológico a las 3 Unidades
de Negocio del Rubro Educación en el Perú, Integrada por los Institutos Certus, Institutos
Toulouse Lautrec y la Universidad UCAL.

A partir del año 2019 Inversiones Educa S.A. decide Integrar todas las unidades de negocio
en una sola RED PRIVADA debido a que al tener 3 proveedores de Telecomunicaciones los
cuales son:

1. Telefónica del Perú brinda servicios de Telecomunicaciones a ITLS. SAC.

2. CenturyLink brinda servicios de Telecomunicaciones a Certus.
3. América Móvil brinda servicios de Telecomunicaciones a UCAL.

Es por esta razón que uno de los grandes problemas que se tiene es la administración de los
recursos en cada Unidad de Negocio, así como la gestión de las sedes remotas y los Data
Center.

La Arquitectura de red actual no permite compartir recursos como son:

- Centrales Telefónicas
- Soluciones de Wifi Centralizado
- File Server, Bases de Datos
- Aplicaciones
- Sistemas de Video Vigilancia
- Sistemas de Colaboración Video Llamadas

23
3.2 SOLUCIÓN

Optimizar e Implementar una RED CORPORATIVA LAN y WAN usando la metodología

PPDIOO Cisco inc., y para la Gestión del proyecto usar de referencia la metodología de
PMI.

3.2.1 OBJETIVOS

OBJETIVO GENERAL

Optimizar la Infraestructura de Red LAN y WAN utilizando la metodología PPDIOO de

Cisco inc., para las Unidades de Negocio de la Empresa INVERSIONES EDUCA S.A. del
Grupo ENFOCA.

OBJETIVOS ESPECIFICOS

A. Optimizar el acceso hacia Internet, incrementando su disponibilidad.

B. Mejora de la Gestión y administración de Sedes Remotas de cada Une.
C. Brindar la facilidad de compartir recursos entre Unes tales como (Voip, Wifi,
FilServer, DB, Colaboración, Video Vigilancia).
D. Mejora en la capacidad de la RED en relación a tiempos de respuesta, anchos de
banda y Escalabilidad.
E. Mejorar el Nivel de SLA para incidentes y Requerimientos.
F. Mejora en la Seguridad Perimetral.

24
3.2.2 ALCANCE

ALCANCE FUNCIONAL

Se define que el alcance funcional para el proyecto corresponde a Operaciones TI e

Infraestructura de TI.

ALCANCE ORGANIZACIONAL

La Gerencia de TI, que está conformada por 3 Subgerencias (SOLUCIONES,INFRA,BI),

de las cuales la subgerencia de Infraestructura es responsable, la Jefatura de Mesa de
Ayuda, la Jefatura de Plataforma de Servidores y la Jefatura de Centro de Datos y Redes.

Figura 2. "Organigrama Área TI - Inversiones Educa S.A."

Fuente: (Intranet Interna – Ieduca 2019)

25
ALCANCE GEOGRAFICO

INVERSIONES EDUCA S.A. en Lima, distrito de Santiago de Surco, en la Av. Primavera

Nro. 970

Figura 3. Lima Metropolitana

Fuente: (Google Maps)

Figura 4. Dirección Fiscal Inversiones Educa. S.A.

Fuente: (Google Maps)

26
3.2.3 ETAPAS Y METODOLOGÍA

[Link] Metodología PPDIOO

El Cisco (PPDIOO) define un ciclo continuo de fases en la vida de una red. Cada fase incluye
pasos clave para la preparación, planificación, diseño, implementación, operación, y
finalmente la optimización. El enfoque de diseño de arriba hacia abajo para el diseño de
redes se adapta a la infraestructura de red, a las necesidades de las aplicaciones de red.

Figura 5. Cisco PPDIOO Ciclo de Vida de una RED

Fuente: (Cisco PPDIO CCDA)

A. Preparación
En esta fase de preparación se identificarán los requisitos y necesidad para el desarrollo de
un Nuevo diseño de red.

27
B. Planificación
Se crea y se pone en marcha el plan a ejecutar durante el Proyecto indica las tareas a
realizar en los tiempos establecidos.

C. Diseño
Esta fase del ciclo de vida define la elaboración del diseño a nivel de 3 capas de cisco
tomando en cuenta requerimientos técnicos, limitaciones técnicas, objetivos del negocio y
limitaciones del negocio.

D. Implementación
Se pone en marcha la implementación y configuración que deben tener los equipos a nivel
LAN, WAN y seguridad.

E. Operación
En esta fase se recomienda tener un personal especializado en la verificación de la red ya
que es necesario hacer un seguimiento día a día del avance de la red y mostrar posibles
fallas del proceso y poder corregirlas.

F. Optimización
En esta fase se identifican y resuelven los daños que afecten a la red. Posiblemente se cree
una modificación al diseño si aparecen inconvenientes.

El Cisco PPDIOO ciclo de vida brinda 4 beneficios esenciales:

- Reducir el costo total del equipamiento.

- Mejorar el nivel de disponibilidad de la arquitectura de red
- Mejorar la agilidad empresarial mediante el establecimiento de tecnología y
requisitos empresariales.
- Optimizar el uso de aplicaciones a nivel red.

28
El PPDIOO tiene tres pasos que se aplican a las 3 primeras etapas del ciclo de vida de la red.

Fase 1: Mapear requisitos de red del cliente

Fase 2: Exponer la red actual
Fase 3: Diseñar la topología de red y soluciones.

[Link] Metodología PMI (PMBOK®)

Para la planificación y organización del proyecto se hace uso de la metodología PMI basado
en la guía de PMBOK en la cual se brindan las siguientes Áreas de conocimiento y grupos
de procesos.

Áreas de Conocimiento
1. Gestión de la integración
2. Gestión del alcance
3. Gestión del tiempo
4. Gestión de los costos
5. Gestión de la calidad
6 Gestión de los recursos humanos
7. Gestión de las comunicaciones
8. Gestión de los riesgos
9. Gestión de las adquisiciones

Grupos de Procesos
a. Inicio
b. Planeación
c. Ejecución
d. Monitoreo y Control
e. Cierre

29
 Grupos de Procesos Áreas de Conocimiento
a. Inicio 1. Gestión de la integración
b. Planeación 2. Gestión del alcance
c. Ejecución 3. Gestión del tiempo
d. Monitoreo y Control 4. Gestión de los costos
e. Cierre 5. Gestión de la calidad
6 Gestión de los recursos humanos
7. Gestión de las comunicaciones
8. Gestión de los riesgos
9. Gestión de las adquisiciones

10. Gestión de los interesados

Tabla 1. Areas de Conocimiento y Grupos de procesos PMI
Fuente: (Elaboracion propia)

[Link] Metodología Agile Scrum

Durante la ejecución del proyecto se hizo uso de la metodología Ágil Scrum para abordar
las sesiones también conocidas como dayli en la cual se tenía reuniones de 15 a 30 min con
el negocio, equipo técnico y el proveedor.

En estas sesiones se brindan los avances, pendientes, tareas bloqueadas, tareas completadas
a través del uso de la herramienta TRELLO en la cual se listaron las tarjetas de mayor
prioridad y menor prioridad.

El encargado de llevar a cabo las reuniones(Dayli) y organizar las tarjetas era el mismo PM
responsable de llevar a cabo la planificación del proyecto haciendo uso de PMI.

30
 Figura 6. Metodologia Agile SCRUM
Fuente: ([Link]

Componentes Básicos de Scrum

Artefactos Practicas Roles

Product Backlog Planificación del Sprint Scrum Master
Sprint Backlog Scrum Diario (Dayli) Product Owner
Equipo de Desarrollo
Tabla 2. Componentes Basicos de Scrum
Fuente: (Elaboracion propia)

31
 METODOLOGIA DE DISEÑO
CICLO DE VIDA ACTIVIDADES DOCUMENTACION HERRAMIENTAS
Paso 1: Mapear apps, servidores, servicios. -Herramienta Trello para
Paso 2: Definir metas del negocio. realizar el seguimiento y la
PREPARAR Paso 3: Detallar todas las limitantes del negocio. Documento de asignación de tareas
Paso 4: Detallar metas a alcanzar a nivel técnico. Requerimientos del relacionadas al
Paso 5: Detallar bloqueos técnicos y limitantes. cliente. levantamiento de
información.
-Trello
-Ejecución de comandos
-Show tech-support
Paso 1: Identificar información, documentación de la -Show processes cpu
organización. Documento de -Show version
PLANIFICAR Paso 2: Realizar una auditoría de red que agregue detalles a la Arquitectura de RED -Show log
descripción de la red. ACTUAL. -Netflow
Paso 3: hacer uso de herramientas de análisis y captura de -SNMP
paquetes, sniffer. -Checklist
-Wireshark
-Ekahau site Survey
-Network Security scanner
Top-Down
Paso 1: Análisis de los requisitos de la aplicación y
DISEÑO organización

32
 Paso 2: Diseño desde la parte superior del modelo de referencia
OSI
Paso 3: Definir requisitos de capas superiores (aplicación, Documento de Diseño
presentación, sesión)
Paso 4: Especificar la infraestructura para las capas OSI Plan de Migración
inferiores (transporte, red, enlace de datos, físico)
Paso 5: Reunir datos adicionales en la red.

Plan de
Implementación

IMPLEMENTACION Plan de Pruebas

Plan de Rollback
incidencias
requerimientos
gestion de cambios
OPERAR capacidad de red
sistemas de backups
criterios de seguridad
OPTIMIZAR

Tabla 3. Metodologia de Diseño PPDIOO

Fuente: (Preparacion propia)

33
3.2.4 FUNDAMENTOS UTILIZADOS

Arquitectura de Red Jerárquica

Los modelos jerárquicos nos brindan la facilidad de diseñar una arquitectura de red en 3 capas
La cual nos brindar beneficios a nivel de alta disponibilidad, escalabilidad, seguridad.

Estas 3 capas están conformadas por:

- Core
- Distribución
- Access

Cada capa puede centrarse en funciones específicas, lo que le permite elegir los sistemas y
características adecuados para cada capa. Los modelos jerárquicos se aplican al diseño de
LAN y WAN.

Figura 7. Modelo Jerarquico Cisco inc.

Fuente: (CCDA Cisco)

34
Beneficios del modelo jerárquico

✓ Ahorros económicos.
✓ Enlaces redundantes hacia capas superiores e inferiores
✓ Escalabilidad
✓ Tolerancia de fallas

Figura 8. Modelo Enterprise Campus Cisco inc.

Fuente: (CCDA Cisco)

Capa de Núcleo

El Core es la columna vertebral de la RED a nivel de enrutamiento y conmutación de paquetes

en lata velocidad.

Características:

35
 - Transporte rápido
- Segura
- Alta disponibilidad
- Resiliente
- Niveles bajos de latencia y delay.
- Clasificación de calidad de servicio (QoS)

Capa de Distribución

Esta capa es la intermedia entre el Core y Access. La capa de distribución incluye las
siguientes funciones.

- Conectividad basada en Policy (La red se reenvía por una interfaz mientras que el resto
del tráfico se reenvía por otra interfaz)
- Redundancia y equilibrio de carga
- Agregación de armarios de cableado LAN
- Agregación de conexiones WAN
- QoS
- filtrado de seguridad
- Agregación o resumen de direcciones o áreas
- Acceso departamental o de grupo de trabajo
- Definición de dominio de difusión o multidifusión
- Intervlan routing.
- Filtrado por dirección de origen o destino
- Filtrado en puertos de entrada o salida
- Enrutamiento estático
- Mecanismos de QoS, como las colas basadas en prioridades

36
Capa de Acceso

Finalmente, esta capa proporciona conexión directa con los dispositivos finales como Access
point, PC/laptop, etc.

Las funciones de la capa de acceso incluyen las siguientes:

- Conmutación de capa 2
- Alta disponibilidad
- Seguridad portuaria
- Supresión de transmisiones
- Clasificación y marcado de QoS y límites de confianza
- Tasa de limitación / vigilancia
- Inspección del Protocolo de resolución de direcciones (ARP)
- Listas de control de acceso virtual (VACL)
- Árbol de expansión
- Clasificación de confianza
- Power over Ethernet (PoE) y VLAN auxiliares para VoIP
- VLAN auxiliares

IPv4 Direccionamiento

Algunos números de red dentro del espacio de direcciones IPv4 están reservados para uso
privado. Estas los números no se enrutan en Internet. Hoy en día, muchas organizaciones
utilizan direcciones privadas en sus redes internas con NAT para acceder a Internet. Las
direcciones privadas fueron uno de los primeros pasos para abordar la preocupación de que
el espacio de direcciones IPv4 único a nivel mundial se agote. La disponibilidad de
direcciones privadas combinadas con NAT reduce la necesidad de que las organizaciones
Defina cuidadosamente las subredes para minimizar el desperdicio de direcciones IP
globales públicas asignadas.
El espacio de direcciones de red IP reservado para las redes privadas es

37
10/8, 172.16 / 12 y 192.168 / 16. Incluye una red de clase A, 16 redes de clase B y 256 redes
de clase C.

Figura 9. Clases de Direccionamiento IP Privado.

Fuente: (CCDA Cisco)
Alta Disponibilidad

Al diseñar una topología de red para un cliente que tiene sistemas, servicios o rutas de red,
debe determinar la probabilidad de que estos componentes fallen y diseñar redundancia
cuando sea necesario. Considere incorporar uno de los siguientes tipos de
redundancia en su diseño:

- Redundancia de estación de trabajo a enrutador en la capa de acceso al edificio

- Redundancia de servidores en el módulo de la granja de servidores
- Redundancia de rutas dentro y entre componentes de red
- Redundancia de medios de enlace en la capa de acceso

Redundancia del servidor

Algunos entornos necesitan servidores de aplicaciones y archivos completamente redundantes

(reflejados). Los servidores redundantes pueden replicar los datos. Cisco Unified
Communications Servidores del administrador (CUCM) en grupos para la redundancia.
Los servidores deben estar en diferentes redes y utilice fuentes de alimentación redundantes.
Para brindar alta disponibilidad en el servidor módulo de granja, tiene las siguientes opciones:

- (HSRP, GLBP, VRRP) para encontrar dinámicamente enrutadores alternativos.

- tarjetas de interfaz (NIC).

38
 - Paquetes de puertos Fast EtherChannel (FEC) y Gigabit EtherChannel (GEC)

Protocolo HSRP

El protocolo Cisco HSRP proporciona una forma para estaciones de trabajo IP que admiten
solo un enrutador predeterminado para seguir comunicándose en la red incluso si su enrutador
predeterminado no está disponible.

HSRP funciona creando un enrutador virtual que tiene sus propias direcciones IP y MAC. Las
estaciones de trabajo utilizan esta dirección IP virtual como su enrutador predeterminado. Los
enrutadores HSRP en una LAN se comunican entre sí para designar dos enrutadores como
activos y en espera. El enrutador activo envía mensajes de saludo periódicos. Los otros
enrutadores HSRP Escuchan los mensajes de saludo. Si el enrutador activo falla y los otros
enrutadores HSRP dejan de recibir mensajes de saludo, el enrutador en espera toma el control
y se convierte en el enrutador activo.

Figura 10. Protocolo HSRP Funcionamineto

Fuente: (CCDA Cisco)

39
Protocolo VRRP

VRRP especifica un protocolo electoral que asigna dinámicamente la responsabilidad de un

enrutador a uno de los enrutadores VRRP en una LAN. El enrutador VRRP que controla las
direcciones IP asociado con un enrutador virtual se llama maestro y reenvía los paquetes
enviados a estas direcciones IP. El proceso de elección proporciona una falla dinámica en la
responsabilidad de reenvío. en caso de que el maestro no esté disponible. Esto permite que
cualquier IP del enrutador virtual direcciones en la LAN que los hosts finales utilizarán como
enrutador de primer salto predeterminado.

Calidad de Servicio (QoS)

El concepto de calidad de servicio es aplicado en cada capa de la red jerárquica, básicamente

consiste en realizar un proceso de clasificación, marcación y asignación de ancho de banda
específico para cada tráfico.

El tráfico que se puede marcar es todo aquel que pase el filtro de clasificación, estos pueden
ser segmentos de red dedicados a brindar servicios de voz y video, conexión hacia internet,
trafico crítico y no critico como conexiones a bases de datos, consultas sql, etc.
El marcado establece ciertos bits en un paquete o trama que ha sido clasificado. Marcar
también es llamado colorear o etiquetar.

El estándar IEEE 802.1D-1998 describe la aceleración de la clase de tráfico IEEE 802.1p.

40
 Figura 11. Calidad de servicio Telefonia Voip
Fuente: (CCDA Cisco)

Funcionalidad SDWAN

Esta tecnología wan definida por software se presenta como la evolución a redes tradicionales
como son mpls.
La red sdwan principalmente brindan la facilidad de escalar a nivel de conexiones hacia
internet o nubes privadas, haciendo uso de 2 enlaces en modo activo-activo brinda beneficios
de conexión y anchos de banda.

El funcionamiento esta definido por establecer conexiones virtuales a través de Internet, Redes
MPLS, 4G/5G. el protocolo utilizado es IPSEC la cual genera conexiones que van censando
el medio de transmisión en base a tiempos de respuesta, latencia, delay , intermitencia.

Y en es base a esta información que toma la decisión de enrutar los paquetes por un camino o
el otro.

Esta tecnología se aprovecha al máximo cuando se tienen escenarios con 2 proveedores ISP
distintos.

41
 Figura 12. Funcionamiento sdwan
Fuente: (Fortinet cookbook)

Seguridad de Red

Establecer políticas de seguridad de Red es un punto muy importante que todo negocio medio
o grande debe considerar, esta parte fundamental básicamente se centra en establecer
mecanismos que eviten la vulneración de seguridad de una infraestructura hacia lo servidores,
equipos Core y prevenir ataques de manera interna y externa.

La parte más importante y el primer frente de contención de ataques es la seguridad perimetral

mediante firewalls se evita ataques externos provenientes de distintas partes del mundo.

Componentes que ayudan a contener ciberataques:

- Sanboxing
- Antiddos
- Reforzar endopoint (EDR)

42
Consideraciones de seguridad a tener en cuenta:

- Bloquear el acceso de atacantes externos a la red

- Permitir el acceso solo a usuarios autorizados
- Evitar que los ataques provengan de fuentes internas
- Compatible con diferentes niveles de acceso de usuarios
- Protección de los datos contra alteraciones o uso indebido

Tecnologías WAN

Se deben considerar varios factores al seleccionar una tecnología de transporte WAN. Las
opciones de WAN están basadas en Internet pública y algunas están basadas en WAN
privadas. La Geografía también juega un papel clave en las tecnologías WAN disponibles en
un área determinada. Ciudades importantes tienen la mayor cantidad de opciones de transporte
WAN, y las áreas rurales son más limitadas en cuanto a disponibilidad de las opciones de
servicio WAN.

Figura 13. Tipos de Tecnologias WAN

Fuente: (CCDA Cisco)

43
Esta información también refleja las diferentes características de cada tecnología WAN. Sin
embargo, tenga en cuenta que las ofertas de su proveedor de servicios Limite las opciones de
tecnología WAN disponibles para usted durante su selección.

MPLS (Multiprotocol Label Switching)

MPLS es tecnología para la entrega de servicios IP utilizando etiquetas (números) para

reenviar paquetes. En entornos enrutados normales, los paquetes se reenvían salto a salto
desde el origen al destino. Cada enrutador en la ruta realiza una dirección de destino de Capa
3 búsqueda, reescribe la dirección de Capa 2 y reenvía el paquete al destino. Sin embargo,
MPLS funciona marcando encabezados de paquetes que incluyen información de etiquetas.
Tan pronto como Los paquetes están marcados con una etiqueta, se pueden diseñar rutas
específicas a través de la red para corresponden a esa etiqueta distinta. Las etiquetas MPLS se
pueden configurar en parámetros como direcciones de origen, ID de circuito de capa 2 o valor
de QoS. Normalmente, las etiquetas corresponden a la dirección de destino de la Capa 3, lo
que hace que MPLS sea lo mismo que el enrutamiento basado en destino.
Los paquetes MPLS pueden ejecutarse en la mayoría de las tecnologías de Capa 2, como
ATM, Frame Relay, POS y Ethernet. El objetivo de MPLS es maximizar la conmutación
mediante etiquetas y minimizar Enrutamiento de capa 3. En las implementaciones de MPLS,
existen enrutadores de borde de cliente (CE) y de borde de proveedor (PE). El enrutador CE
reside en las instalaciones del cliente y, por lo general, es allí donde los internos y externos se
intercambia información de enrutamiento. El enrutador CE luego se conecta al enrutador PE,
que es el ingreso a la red del proveedor de servicios MPLS.

44
 Figura 14. Tecnologia MPLS
Fuente: (CCDA Cisco)

VPN

Red privada virtual es una tecnología muy usada que consiste en emular la conexión hacia
servicios internos como si estuvieras dentro de la red LAN de la empresa.

Se puede usar 2 tipos de conexiones VPN:

- VPN SSL para conexión remota de usuarios a través de un cliente

- VPN IPSEC para establecer una conexión lógica a través de internet para acceder y
crear un canal virtual de conexión hacia servicios internos.

DMZ (zona Desmilitarizada)

Dentro de la red lan de una organización se puede segmentar de manera interna la lan para
poder establecer una red DMZ que principalmente consiste en aislar el segmento dmz de los
ataques provenientes del exterior o interior.

45
 Figura 15. Zona Desmilitarisada
Fuente: (fortigate cookbook)

Para ejecutar esto es necesario contar con un equipo de capa 4 y seguridad firewall dedicado
para soportar conexiones y sesiones entrantes y salientes aplicando políticas de seguridad
que permitan o denieguen cierto tráfico.

Método de diseño Top and Down

La metodología PPDIOO establece un método que facilita la elaboración del diseño de una
red. Esta es conocida como Top and down. También establece otro método llamado down
and top que consiste en iniciar el diseño desde la parte inferior del modelo osi hacia capas
superiores.

El método consiste en comenzar el diseño partiendo de las capas superiores del modelo de
referencia OSI:

- Aplicación
- Presentación
- Sesión
- Transporte
- Red

46
 - Enlace de datos
- físico

Figura 16. Modelo Top and down - Diseño

Fuente: (CCDA Cisco)

Topología Full Mesh

Este tipo de topología especifica la facilidad de conexión entre nodos remotos de forma todos
entre todos. Es un tipo de red que posee un alto grado de disponibilidad puesto que se generan
enlaces redundantes hacia cada nodo.

Finalmente se establece una malla que brinda comunicación y el beneficio de compartir

recursos de todos los nodos entre todos.

Por lo general este tipo de topología es una evolución a las topologías hub and spoke.

Figura 17. Topologia Full Mesh

Fuente: (CCDA Cisco)

47
Tecnología Stacking

A nivel de la infraestructura de Networking, el término "pila" (o apilable) se refiere a un grupo

de conmutadores físicos que se han cableado y agrupado en un único conmutador lógico. A
lo largo de los años, las funciones de apilamiento han pasado de ser una función Premium (y
costosa) a una capacidad central de casi todos los conmutadores de nivel empresarial (y
también en varios modelos de pymes).

Figura 18. Componentes Stack

Fuente: (Cisco Meraki)

Estándar TIA

Este estándar establece lineamientos para ejecutar el cableado estructurado de manera correcta
y haciendo uso de buenas prácticas, se definen los requerimientos mínimos para establecer
cuartos de comunicaciones, data center, cableados horizontales y verticales.

El estándar nos muestra las categorías de cableado que podemos usar que son:

Categoría 5e

Categoría 3

Categoría 6

48
Por lo general para el cableado de tipo backbone se suele utiliza fibra óptica, debido al gran
ancho de banda que puede manejar.

Para el cableado horizontal se suele usar cable de cobra categoría 5e y 6.

49
3.2.5 DISEÑO E IMPLEMENTACION DE UNA RED CORPORATIVA LAN Y WAN
HACIENDO USO DE BUENAS PRACTICAS

[Link] Planificación y Gestión del Proyecto

I. Gestión de la Integración

Alcance del Producto

Todas las bondades de la Implementación y Unificación de las Unes de Inversiones Educa

S.A. se enfocan en lo siguiente:

- Poder Compartir recursos Voip, Wifi, FilServer, DB, Colaboración, Video Vigilancia).
- Poder asistir de manera oportuna requerimientos e incidentes en la RED PRIVADA.
- Poder incrementar el ancho de banda de manera rápida y a demanda según sea necesario.
- Poder contar con 2 rutas de navegación a internet, y ante cualquier caída de servicio de
conexión Internacional, tener el respaldo de una segunda ruta.
- Poder manejar permisos de navegación a Internet y bloqueos oportunos
- Brindar la seguridad Perimetral ante ataques de DDoS, Ataques de Día Zero, Ransonware,
Ataques de Fuerza Bruta, etc.
- Brindar acceso hacia todos los recursos de las 3 Unes a través de una sola configuración de
VPN SSL.
- Conocer el estado de los Enlaces de RED, así como el status de los mismos (Consumo de
Ancho de Banda, Uso de CPU, RAM, etc.)
- Permitir la extracción de Reportes de Ataques, Consumo de Ancho de Banda, top 10 usuarios
de mayor consumo, Top 10 Aplicaciones más usadas. Etc.
- Permitir la Publicación de Servicios y Aplicaciones bajo el mismo Direccionamiento IP
Publico.

50
II. Asunciones

1. La Gerencia de TI de Inversiones Educa. S.A. brindará todas las facilidades a nivel de

recursos y tiempos durante todo el periodo de ejecución del proyecto.

2. El Área de REDES estarán brindando las facilidades a los proveedores durante todo el
proyecto, así como las visitas técnicas a cada sede y finalmente para la revisión y validación
de los Informes Técnicos de ingreso de Fibra a las sedes.

3. Personal del Equipo y Subgerencia de Soluciones y BI deberán asignar un recurso para el

proyecto durante el levantamiento de Información y posterior validación del cambio.

4. Personal de cada Área Funcional (Académica, Finanzas, Logística) deberán asignar un

recurso para validar a nivel funcional el correcto funcionamiento de las aplicaciones y
servicios.

5. Los representantes Legales de cada UNE deberán autorizar los pases a producción durante
el fin de semana que este programando realizar la migración.

6. La gerencia de RR. HH deberá prepara un comunicado en caso algún servicio no se

encuentre disponible durante y post Migración.

III. Condiciones

1. Para la gestión y planificación del proyecto se usará la metodología PMI de la cual se

abarcará solo algunas áreas del conocimiento.

2. El diseño de la nueva Arquitectura estará basada en la especificación de la metodología

PPDIOO y el diseño en 3 capas de Cisco inc.

3. La funcionalidad de SDWAN será basada en las buenas Practicas ofrecidas por Fortinet
inc.

4. La implementación final a realizar en Inversiones Educa S.A. está sujeta al presupuesto

asignado para el proyecto. Para la adquisición y adjudicación del proveedor y conseguir
objetivos técnicos y del negocio detallados en el alcance.

51
IV. Requerimientos del Proyecto

La Optimización de una RED LAN y WAN Centralizada en Inversiones Educa S.A. significa
realizar los siguientes entregables listados a continuación.

Código Descripción

TILEV01 Listado de Servicios Críticos No Críticos

TILEV02 Propuesta de Arquitectura de RED

TILEV03 Diseño de RED

TILEV04 Planeación y Ejecución

Tabla 4. Lista de Entregables

Fuente: (Elaboracion propia)

V. Hitos y Entregables de la gestión de proyectos

Para la gestión del proyecto, se han definido los siguientes entregables:

Actividad Fecha Responsable

Estimada

Acta de Constitución del Proyecto 10/07/2019 MTORIBIO

EDT 10/08/2019 MTORIBIO

Cronograma de gestión del proyecto 25/08/2019 MTORIBIO

Cronograma de ejecución del proyecto 25/09/2019 MTORIBIO

Tabla 5. Lista de Entregables

Fuente: (Elaboracion propia)

52
VI. Presupuesto

El presupuesto asignado por parte de la gerencia y subgerencia de TI de debe considerar los

siguientes ítems.

Ítem Origen del Presupuesto

Recursos humanos para el La contratación de personal temporal o la reasignación

proyecto. de personal para liderar, gestionar y ejecutar el proyecto

El área de proyectos deberá proponer un PM y la

subgerencia de TI designar el líder técnico.

Alquiler tecnológico Esto será cubierto por el presupuesto anual separado y

asignado a la gerencia de TI para el uso de alquiler de
equipos por 3 años con el proveedor y compra de
equipos de ser necesario.

Servicios Mensuales Internet El presupuesto anual y asignado al proyecto será

destinado un porcentaje a cubrir este gasto opex.

Tabla 6. Items de Presupuesto

Fuente: (Elaboracion propia)

53
[Link]

Para la Implementación del proyecto se ha determinado que será necesario definir y asignar
los siguientes ítems.

Recursos Detalle

Equipo técnico y proyectos. El equipo estará conformado por 2 especialistas

ingenieros de sistemas.

Y 1 Analista de Redes para ejecución de Pruebas y

cambios.

Equipamiento Tecnológico Routers Cabecera, Firewall Perimetral, Router

CPE,Fortianalyzer,MediaConverter,Fibra Optica,
Racks, Gabinetes RU, UPS,transceiver.

Tabla 7. Items de Recursos

Fuente: (Elaboracion propia)

VIII. Riesgos

Se listan todos los peligros involucrados que ponen en riesgo el éxito del proyecto.

Descripción de Riesgo Probabilidad

Deserción temporal de miembros del equipo técnico 60%

Deserción definitivo de miembros del equipo del proyecto 60%

Permisos y Licencias Municipales para ejecución de Obra Civil 70%

Demora en la importación de equipamiento Router,Firewall. 60%

Modificación del alcance 35%

54
 Baja retroalimentación entre el equipo de Redes y proveedor. 10%

Anuncio de algún curso o matricula que impidan realizar el pase a 40%

producción

Equipamiento Tecnológico inadecuado 35%

Falta de Experiencia al momento de ejecutar la migración 25%

Informes Técnicos no aprobados por el negocio y corrección del mismo 45%

para la ruta de ingreso de la Fibra.

Deficiencia en la entrega de Información de servicio Críticos y no 55%

Críticos

Tabla 8. Descricpion de Riesgos

Fuente: (Elaboracion propia)

IX. Control de Cambios

A continuación, se especifica el formato del documento que oficializará los requerimientos de
cambios dentro del proyecto.

55
Figura 19. Formato Control de Cambios
Fuente: (Formatos proyectos ieduca)

56
Gestión del Alcance

I. Enunciado del alcancel de proyecto

El alcance del Proyecto “OPTIMIZACION DE LA INFRAESTRUCTURA DE RED LAN

Y WAN, PARA LAS EMPRESAS DEL GRUPO INVERSIONES EDUCA S.A. BASADO
EN LA METODOLOGIA PPDIOO CISCO Inc.” a nivel de detalle se listan los siguientes
objetivos.

- Realizar el levantamiento de Información de Servicio Críticos y No Críticos,

procesos de operaciones Actuales de las Áreas: Académicas, Ventas, Logística de
cada UNE de Inversiones Educa S.A.
- Realizar un análisis y Diseño de una nueva arquitectura Centralizada y nuevo
Direccionamiento IP.
- Establecer la nueva Arquitectura y Direccionamiento IP mediante el uso de Tecnología
Cisco Diseño de Capas y SDWAN de Fortinet.
- Planificar la implementación de la nueva red con la participación del nuevo proveedor
de Servicios ISP que permitan a las UNES de Inversiones Educa poder estar
centralizados en una sola Red LAN Privada y compartir Recursos.
- Integración del servicio de Telefonía
- Brindar una conexión hacia internet redundante.
- Mejora de la Gestión y administración de Sedes Remotas de cada Une al estar
integradas sobre una sola red Privada.
- Brindar la facilidad de compartir recursos entre Unes tales como (Voip, Wifi,
FilServer, DB, Colaboración, Video Vigilancia).
- Mejora en la capacidad de la RED en relación a tiempos de respuesta, anchos de banda
y Escalabilidad.
- Mejora en los tiempos de Atención de Incidentes y Requerimientos.
- Mejora en la Seguridad Perimetral ante ataques externos e Internos.

Para lo cual se consideran las siguientes actividades:

i. Definición, Organización y Roles del Proyecto.

57
 ii. Coordinar al equipo de proyecto, Explicar y documentar claramente cuáles son los roles
que cada integrante del equipo cumplirá

Roles Descripción

Project Manager Liderar, gestionar la ejecución del proyecto

Administrador de Red Líder Técnico

Analista de Redes Personal de Apoyo para ejecución de cambios,

pruebas.

Analista de Infraestructura Personal de Apoyo para ejecución de cambios,

pruebas.

Tabla 9. Descricpion de Roles

Fuente: (Elaboracion propia)

iii. Coordinar con Inversiones Educa S.A. la permuta del presupuesto.

a. Identificación de Interesados.
o Inversiones Educa. S.A
o ITLS SAC
o Universidad de Ciencias y Artes - UCAL
o Institutos CERTUS
o CEO IEDUCA S.A.
o Personas que validan los resultados del proyecto
o Personas que proponen mejoras del proyecto
b. Actividades del Proyecto
o Definir Áreas Afectadas del Proyecto

Revisión de documentación existente, relacionada con los servicios publicados por cada
UNE actuales

58
II. Entregables del proyecto

Como entregables del proyecto se definen los siguientes documentos.

✓ Evaluación de la situación actual y mejoras en la Arquitectura de RED.

✓ Plan de ejecución del proyecto - Gantt

Además de esto durante la implementación se hará uso de los tableros KANBAN para el
seguimiento y por eso se entregará:

✓ tablero en la herramienta TRELLO

También en base al diseño en 3 Capas sugerida por CISCO, se entregará

✓ Diagrama de Diseño de Red en 3 Capas (Distribución, Core, Acceso)

II.1 Diagnóstico de la Situación Actual

Este documento contiene el levantamiento de información realizado a los servicios internos y

a los componentes de red con que cuenta actualmente INVERSIONES EDUCA S.A.
actualmente.

II.2 Planificación para la Gestión e Implementación del Proyecto

Se detallará las actividades mapeadas para la ejecución del proyecto abarcando las fases de la
metodología PPDIOO.

II.3 Análisis Tecnológico

En este entregable se detalla todo el equipamiento necesario, así como el datasheet

correspondiente a cada componente.

59
 - Equipos Físicos de Telecomunicaciones - Routers.
- Equipos de conexión Fibra óptica, cobre de conexión hacia internet y sedes remotas.
- Hardware y tecnologías de Seguridad Perimetral.
- Reportes Fortianalyzer.
- Componentes de Telecomunicaciones
- Software Herramienta de Monitoreo de Enlaces de RED.
- Software Herramienta de Reportes, Consumos de Ancho de banda, etc.

III. Fuera de Alcance

Los siguientes aspectos no están considerados dentro del alcance del proyecto y, por lo
tanto, no serán abordados en el mismo:

❖ Brindar Soporte al Software, Aplicaciones, Servicios Web.

❖ Instalar Equipamiento no definido en el Alcance como (Balanceadores,
Optimizadores, etc.)
❖ Realizar Upgrade de Anchos de Banda que no fueron definidos en el alcance.
❖ Instalar Componentes como Transceiver que no fueron considerados en el alcance.

IV. Objetivos del Proyecto

Objetivo general

Brindar lineamientos generales para la preparación, planificación diseño e implementación de

una nueva arquitectura de RED para las unidades de negocio de la empresa INVERSIONES
EDUCA S.A., a fin de mejorar la gestión, optimizar los recursos, mejorar la calidad del
servicio y, a su vez, aumentar su resiliencia.

60
Objetivos específicos

✓ Ejecutar el levantamiento de información de servicios y servidores críticos actuales de

cada Unidad de Negocio de la empresa Inversiones Educa S.A.

✓ Efectuar un análisis y diseño de un nuevo esquema de direccionamiento IP para que

cada sede de cada Unidad de negocio sea independiente y la gestión no provoque
duplicidad de redes.

✓ Establecer una Arquitectura de Red Centralizada que permita la mejora de la gestión

oportuna de las sedes y recursos de las mismas, mediante el uso del diseño en 3 capas
y la funcionalidad de SDWAN.

✓ Planificar la implementación de la nueva Arquitectura de RED que permitan a

Inversiones Educa S.A. ofrecer un mejor servicio a sus Unidades de Negocio, mediante
una RED CENTRALIZADA y con el uso de SDWAN.

Cronograma de Actividades

A continuación, se detallan las actividades identificadas que comprenden desde la

planificación hasta la puesta en marcha y posterior cierre.

61
Cronograma del Proyecto

%
Actividades Duración Comienzo Fin Responsable
completado
Proyecto de Migración RED Datos e Internet
120 días 01/09/18 25/12/18 GERENCIA TI 0%
CERTUS/TLS/UCAL
Reuniones del Proyecto x días 01/09/18 25/12/18 GERENCIA TI 17%
Reunión 01 – Presentación del Proyecto – Necesidad x días 01/09/18 25/12/18 JNAVARRO 100%
Reunión 02 – Kickof x días 01/09/18 25/12/18 JNAVARRO 0%
1. PLANIFICACION DEL PROYECTO 30 días 01/09/18 25/12/18 JNAVARRO 0%
1.1 Asignación de Recursos x días 01/09/18 25/12/18 JNAVARRO 100%
1.2 Elaboración de RFP x días 01/09/18 25/12/18 MTORIBIO 100%
1.3 Autorización de Owners para el cambio x días 01/09/18 25/12/18 JNAVARRO 100%
1.4 Elaboración de Gantt del proyecto x días 01/09/18 25/12/18 IEDUCA 100%
2. PREPARACION 10 días 01/09/18 25/12/18 MTORIBIO 2%
2.1 Realizar Inventario de Aplicaciones y Servicios de x días 01/09/18 25/12/18 MTORIBIO
8%
cada UNE
2.1.1 Realizar Inventario de Servidores Públicos y x días 01/09/18 25/12/18 MTORIBIO
0%
Privados
2.1.2 Realizar Inventario de segmentos de red LAN x días 01/09/18 25/12/18 MTORIBIO 0%
2.1.3 Realizar Inventario de VLANS x días 01/09/18 25/12/18 MTORIBIO 0%
2.1.4 Realizar Inventario de Reglas de Firewall x días 01/09/18 25/12/18 MTORIBIO 0%
2.1.5 Realizar Inventario de Servidores VOIP x días 01/09/18 25/12/18 MTORIBIO 0%
2.1.6 Realizar Inventario de NVR/DVR Video Vigilancia x días 01/09/18 25/12/18 MTORIBIO 0%
2.2 Identificación de Objetivos y Limitaciones de la x días 01/09/18 25/12/18 MTORIBIO
100%
organización
2.3 Identificación de Objetivos Técnicos y Limitaciones x días 01/09/18 25/12/18 MTORIBIO
100%
Técnicas de la organización
3. PLANEACION 10 días 01/09/18 25/12/18 0%
3.1 Diagnóstico x días 01/09/18 25/12/18 MTORIBIO 0%
3.1.2 Ejecución diagnóstico de red lan x días 01/09/18 25/12/18 MTORIBIO 0%
3.1.3 Ejecución diagnóstico de red wan x días 01/09/18 25/12/18 MTORIBIO 0%
3.1.4 Ejecución diagnóstico de red dmz x días 01/09/18 25/12/18 MTORIBIO 0%

62
3.1.5 Elaboración de informe de diagnóstico de red x días 01/09/18 25/12/18 MTORIBIO 0%
3.2 Auditoria de RED x días 01/09/18 25/12/18 MTORIBIO 0%
3.2.1 Ejecución de Auditoria x días 01/09/18 25/12/18 MTORIBIO 0%
3.2.2 Elaboración de informe de Auditoria x días 01/09/18 25/12/18 MTORIBIO 0%
4. DISEÑO 10 días 01/09/18 25/12/18 0%
4.1 Elaboración de Diseños x días 01/09/18 25/12/18 MTORIBIO 0%
4.1.1 Elaboración de Diseño de red LAN x días 01/09/18 25/12/18 MTORIBIO 0%
4.1.2 Elaboración de Diseño de red wan y sdwan x días 01/09/18 25/12/18 MTORIBIO 0%
4.1.3 Elaboración de Diseño de telefonía IP x días 01/09/18 25/12/18 MTORIBIO 0%
4.1.4 Elaboración de Diseño de Direccionamiento IPV4 x días 01/09/18 25/12/18 MTORIBIO 0%
4.1.5 Elaboración de Diseño de Seguridad x días 01/09/18 25/12/18 MTORIBIO 0%
[Link] Elaboración de perfiles de seguridad fsso x días 01/09/18 25/12/18 MTORIBIO 0%
[Link] Elaboración de políticas de seguridad x días 01/09/18 25/12/18 MTORIBIO 0%
[Link] Elaboración de perfiles web y app control x días 01/09/18 25/12/18 MTORIBIO 0%
[Link] Elaboración de perfiles seguridad LAN Y dmz x días 01/09/18 25/12/18 MTORIBIO 0%
[Link] Elaboración de diseño de parte superior OSI x días 01/09/18 25/12/18 MTORIBIO 0%
[Link] Elaboración de diseño de QoS x días 01/09/18 25/12/18 MTORIBIO 0%
4.2 Selección de Equipamiento LAN/WAN/Seguridad x días 01/09/18 25/12/18 MTORIBIO 0%
5. IMPLEMENTACION 60 días 01/09/18 25/12/18 0%
5.1 Dimensionamiento x días 01/09/18 25/12/18 MTORIBIO 0%
5.2 Reunión de Kick off x días 01/09/18 25/12/18 MTORIBIO 0%
5.3 Coordinación de visitas Técnicas x días 01/09/18 25/12/18 MTORIBIO 0%
5.4 Reunión técnica x días 01/09/18 25/12/18 MTORIBIO 0%
5.5 Elaboración cronograma de pase a producción x días 01/09/18 25/12/18 MTORIBIO 0%
5.6 Elaboración plan de rollback x días 01/09/18 25/12/18 MTORIBIO 0%
5.7 Elaboración de Plan de Evaluación y Validación x días 01/09/18 25/12/18 MTORIBIO 0%
Ordenamiento LAN Direccionamiento Ipv4 y vlan x días 01/09/18 25/12/18 MTORIBIO
5.8 Implementación RED DATOS, Internet x días 01/09/18 25/12/18 MTORIBIO/ON 0%
5.5.1 Sede Krumdieck x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%

63
[Link] Configuración de VDOM x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Configuración de features de seguridad x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Configuración de tuneles ipsec x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Configuración de portales vpn ssl x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Configuración de sandboxing cloud x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Configuración de antiddos cloud x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Configuración de fortianalyzer x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.5.2 Sede Chacarilla x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación equipos DMZ x días 01/09/18 25/12/18 MTORIBIO/ON
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Javier Prado x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede La Molina x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Surco Certus x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%

64
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Norte x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Ate x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Villa x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Callao x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Arequipa x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede Chiclayo x días 01/09/18 25/12/18 MTORIBIO/ON 0%

65
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.1.1 Sede San Miguel x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Visita Técnica x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Fibra x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Instalación Equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
[Link] Ejecución de pruebas de Alta Disponibilidad y x días 01/09/18 25/12/18 MTORIBIO/ON
0%
Saturación
5.9 Migración de Políticas de Seguridad x días 01/09/18 25/12/18 MTORIBIO/ON 0%
5.10 Ordenamiento y depuración de políticas x días 01/09/18 25/12/18 MTORIBIO/ON 0%
5.12 Conexión y configuración de equipos x días 01/09/18 25/12/18 MTORIBIO/ON 0%
Cierre 25/12/18
Tabla 10. Cronograma de Actividades
Fuente: (Elaboracion propia)

66
[Link] Fase de Preparación
Identificar Aplicaciones de red y servicios.

En este punto se validaron todas las aplicaciones y servicios que actualmente se brindan y
están soportados en la arquitectura de red actual, posteriormente se realizó un inventario de
aplicaciones y servicios que poseen direccionamiento publico estático configurado en algún
archivo etc/host, realmlist de su configuración.

UNE Servicio Owner

CERTUS Servidor RDP para alumnos SINTAD AFOX
CERTUS Controlador de dominio CERTUS - AD DNS AFOX
CERTUS Consola de Antivirus Kaspersky UNAVARRO
CERTUS Moodle Pruebas Juan Eladio UNAVARRO
CERTUS Servidore RDP - CERTUS GSANCHEZ
TLS DMZ Portal de Transparencia UCAL GSANCHEZ
TLS DMZ Servidor GENESYS - Base de datos de AFOX
interacciones Chat y Correo
CERTUS wsbannerdev - DOCKER AFOX
CERTUS LVL3 Zabbix Proxy new UNAVARRO
TLS DMZ Intranet Toulouse UNAVARRO
TLS CHA Satelites web de TLS y UCAL PRD GSANCHEZ
CERTUS LVL3 wsbanner - DOCKER GSANCHEZ
TLS CHA Prometeo DB AFOX
CERTUS LVL3 Web Certus Institucional PRD AFOX
CERTUS LVL3 Web Certus Institucional DEV UNAVARRO
CERTUS LVL3 ETHOS UNAVARRO
CERTUS LVL3 Banner GSANCHEZ
TLS CHA Servidor GENESYS - Framework Genesys, Base GSANCHEZ
de datos y Reportes
TLS CHA RDBMS AFOX
TLS CHA ADMIN PAGES AFOX
TLS JP ADMIN PAGES UNAVARRO
TLS JP Banner UNAVARRO
TLS JP AUTOSERVICIOS BANNERS 9.1 GSANCHEZ
UCAL Servidor IIS Desarrollo GSANCHEZ
UCAL WS IEDUCA PRD UNAVARRO
UCAL Portal CERTUS DEV UNAVARRO
Tabla 11. Inventario de Servidores
Fuente: (Elaboracion propia)

67
 IP Privada Hostname Ambiente S.O.
[Link] SRV-SQL01 PROD Microsoft Windows Server 2003(64-bits)
[Link] SRVCENTER PROD Microsoft Windows Server 2019(64-bits)
[Link] SRVPRCADS02 PROD Microsoft Windows Server 2019(64-bits)
[Link] SRVPRCADS1 PROD Microsoft Windows Server 2019(64-bits)
[Link] SRVPRCAVTESTC DEV Red Hat Enterprise Linux 7(64-bits)
[Link] [Link] PROD Microsoft Windows Server 2019(64-bits)
[Link] [Link] PROD Centos 7
[Link] SRVSURMULEDEV DEV Microsoft Windows Server 2019(64-bits)
[Link] SRVETHPRD PROD Microsoft Windows Server 2019(64-bits)
[Link] [Link] DEV Microsoft Windows Server 2019(64-bits)
[Link] [Link] DEV Microsoft Windows Server 2019(64-bits)
[Link] SRVAUTPRD1_2 PROD Debian 10
[Link] [Link] PROD Red Hat Enterprise Linux 7(64-bits)
[Link] SRVAUTPRD01 PROD Red Hat Enterprise Linux 7(64-bits)
[Link] SRVAUTPRD12 DEV Microsoft Windows Server 2019(64-bits)
[Link] SRVAUTPRD11 PROD VMware Photon OS (64-bits)
[Link] SRVAUTPRD10 PROD Microsoft Windows Server 2019(64-bits)
[Link] [Link] PROD Microsoft Windows Server 2019(64-bits)
[Link] [Link] PROD Microsoft Windows Server 2012(64-bits)
[Link] [Link] PROD Debían GNU/Linux 10
[Link] MS_WS-TLS-PRD PROD Microsoft Windows Server 2019(64-bits)
[Link] MS01_W-TLS-PRD PROD Microsoft Windows Server 2019(64-bits)
[Link] MS_CRM-TLS-PRD PROD Microsoft Windows Server 2008(64-bits)
[Link] [Link] DEV Microsoft Windows Server 2019(64-bits)
[Link] [Link] PROD Microsoft Windows Server 2019(64-bits)
[Link] [Link] DEV Microsoft Windows Server 2019(64-bits)
Tabla 12. Inventario de Servidores Privados
Fuente: (Elaboracion propia)

UNE Servicios Owner

CERTUS schedule-becasavanzape GSANCHEZ
TLS schedule-prd--srv-deb9-certus-docker GSANCHEZ
UCAL schedule-prd-srv-win19-mssql-up AFOX
TLS schedule-prd-wscampus-deb9 AFOX
TLS schedule-tls-landing UNAVARRO
UCAL schedule-prd-srv-ub16-web-ucal-penu UNAVARRO
CERTUS schedule-prd--srv-deb9-comercial- JNAVARRO
docker
TLS schedule--srv-centos7-zabbix-web JNAVARRO
Tabla 13. Inventario de Servidores Publicos
Fuente: (Elaboracion propia)

68
 IP Publica Hostname Ambiente S.O.
[Link] GCP_usa01 DEV Debian GNU/Linux 10 (64-bit)
[Link] GCP_usa02 PROD Debian GNU/Linux 10 (64-bit)
[Link] GCP_usa03 PROD Debian GNU/Linux 10 (64-bit)
[Link] GCP_usa04 PROD Debian GNU/Linux 10 (64-bit)
[Link] GCP_usa05 PROD Debian GNU/Linux 10 (64-bit)
[Link] GCP_usa06 PROD Ubuntu GNU/Linux 18 (64-bit)
[Link] GCP_usa07 DEV Ubuntu GNU/Linux 18 (64-bit)
[Link] GCP_usa08 DEV Debian GNU/Linux 9 (64-bit)
Tabla 14. Inventario de Servidores Publicos
Fuente: (Elaboracion propia)

VLAN ID VLAN Descripción Subred

201 Gerentes [Link]/26
202 Invitados (Ger / Corp) [Link]/26
299 Corporativo [Link]/26
501 Administrativos Sede [Link]/26
504 Servidores / Alarmas [Link]/24
601 Impresoras [Link]/27
1 Switch's / AP [Link]/24
10 Switch's / AP 2 [Link]/24
999 Red de Routers -
603 VoIP / Telefonos IP [Link]/26
604 Video streaming [Link]/27
605 DHCP (WiFi Adm) [priv] [Link]/27
606 DHCP (WiFi Edu) [pub] [Link]/24
610 Soporte Everest [Link]/26
702 Módulos / TV [Link]/27
703 Sala de Docentes [Link]/27
704 Cabinas [Link]/26
705 Aulas [Link]/26
706 Proyectores [Link]/26
712 Laboratorio 02 [Link]/26
713 Laboratorio 03 [Link]/26
714 Laboratorio 04 [Link]/26
715 Laboratorio 05 [Link]/26

Tabla 15. Inventario de Segmentos de RED y VLAN

Fuente: (Elaboracion propia)

69
Inventario de Reglas de Firewall

ID IP PUBLICA ORIGEN DESTINO IP DESTINO PUERTOS

866 [Link] All NAT_200.41.102.78_10.100.54.39_3389 [Link] all
NAT_200.41.102.78_10.200.4.50_1433 [Link]
828 [Link] [Link]/32 all
PRUEBAS_APPWEB [Link]
403 [Link] All Mundo_certus-[Link] [Link] all
[Link]/32
796 [Link] PRUEBAS_APPWEB [Link] all
[Link]/32
425 [Link] All NAT_200.41.102.80_10.100.54.47 [Link] all
340 [Link] [Link]/23 all all all
800 [Link] [Link]/32 all all all
253 [Link] ESET Actualizaciones_ESET all
[Link]
[Link]/32 [Link]
[Link]/32 [Link]
244 [Link] [Link]/32 [Link] all all
[Link]/32 [Link]
[Link]/32 [Link]
[Link]
218 [Link] [Link]/32 all all all
mip-campus-[Link]:21 [Link] FTP
716 [Link] All
mip-campus-[Link]:23 [Link] TELNET
mip-campus-[Link]:80 [Link]
644 [Link] All mip-campus-[Link]:443 [Link] all
mip-campus-[Link]:8080 [Link]
[Link]/32 LDAP
608 [Link] [Link]-[Link]:389 [Link]
[Link]/32 LDAP_UDP

70
 54.210.97.57_32
[Link]/32
[Link]/32
[Link]/32
[Link]/32
[Link]/32
[Link]/32 [Link]/32
835 [Link] [Link]/32 [Link]/32 [Link]/32 all
[Link]/32 [Link]/32
[Link]/32 [Link]/32
862 [Link] [Link] [Link]/32 [Link]/32 all
[Link]/32 [Link]/32
PAT_201.234.127.25-[Link]:7007 [Link]
904 [Link] All all
PAT_201.234.127.25-[Link]:8007 [Link]
481 [Link] [Link]/32 mip-[Link] [Link] all
482 [Link] All mip-[Link] [Link] all
10 [Link] All [Link] [Link] all
185 190,216,168,151 [Link]/32 all all all
86 190,216,168,151 All mip-[Link] [Link] all
mip-campus-[Link] [Link]
184 [Link] All all
mip-srvsatelite-[Link] [Link]
mip-Intercon-[Link] [Link]
396 [Link] All all
mip-Intercon-[Link] [Link]
821 [Link] All NAT_200.41.102.81_10.200.1.70 [Link] MYSQL
HTTP
HTTPS
SSH
428 [Link] all NAT_200.41.102.81_10.200.1.70 [Link] SMTP
TCP_587
TCP_6379
TCP_11211

71
 TCP_5432
TCP_11300
TCP_39732
TCP_54370
TCP_54364
TCP_54372
TCP_54366
TCP_40532
TCP_47526
TCP_47522
TCP_34645
TCP_3306
Tabla 16. Inventario de Reglas de Firewall
Fuente: (Elaboracion propia)

Durante el levantamiento de Información correspondiente a Políticas de Firewall Ipv4 se encontraron las siguientes brechas de
seguridad y malas prácticas.

- Existen políticas que tienen expuestos todos los puertos TCP/UDP

- No se tiene un orden de agrupación de servicio o puertos.
- No se tienen identificados los orígenes, se evidencian políticas all to all
- Se evidencio que los puertos de Mysql se encontraron expuestos y no se tenía identificados los orígenes
- Se encontró políticas que no tienen aplicados Filtros de web y control de aplicaciones.
- Se encontró políticas que no tenían aplicado la inspección ssl
- Se encontró políticas que tenían activado la recolección de logs.

72
 Telefonía Voip

A nivel del servicio VOIP en el Holding IEDUCA se tenía los siguientes sistemas:

UNE Sistema VOIP SERVER SIP Ubicación Cantidad de Licencias

CERTUS CCVOX [Link] Data Center LVL3 63
TLS GENESYS [Link] Data Center 23
Chacarilla
UCAL GENESYS [Link] Data Center UCAL 15
Tabla 17. Inventario de Sistemas de Call Center IEDUCA
Fuente: (Elaboracion propia)

Ambos sistemas VOIP al encontrarse en redes WAN diferentes no es posible compartir el

recurso con las demás Unes, en certus se tienen licencias disponibles por usar, pero no puede
ser compartido a menos que todo se encuentre integrado dentro de una sola RED WAN.

Telefonía IP SIPTRUNK

UNE CENTRAL SERVER SIP Ubicación

TELEFONICA
CERTUS AVAYA IPO [Link] Data Center LVL3
TLS CISCO CUCM [Link] Data Center Chacarilla
UCAL CISCO CUCM [Link] Data Center UCAL
Tabla 18. Inventario de Centrales telefonicas IEDUCA
Fuente: (Elaboracion propia)

Lo mismo pasa con el uso de las centrales telefónicas de cada UNE que poseen licencias
disponibles pero su uso está limitado a la arquitectura de RED actual.

73
 Sistema de Video Vigilancia

El sistema de video Vigilancia es muy importante para la organización, puesto que a través de
este sistema personal de seguridad puedo monitorear y vigilar en tiempo real zonas
vulnerables dentro del predio de cada sede de cada Une.

Durante el levantamiento de información se encontró que existen gran cantidad de cámaras y

dispositivos NVR que graban y guardan dichas grabaciones para posteriormente ser
consultados por el administrador del sistema, este sistema solo puede ser consultado estando
en la misma sede donde se encuentra el NVR, no es posible visualizar la grabación de las
cámaras desde una sede remota puesto que la arquitectura WAN no lo permite al contar con
3 redes privadas totalmente separadas.

1. Inventario de Cámaras

UNE SEDE Q CAMARAS TIPO

CHACARILLA 40/25 IP BULLET 2MP IP DOMO 2MP
WDR WDR
TLS JAVIER 20/20 IP BULLET 2MP IP DOMO 2MP
PRADO WDR WDR
NORTE 10/10 IP BULLET 2MP IP DOMO 2MP
WDR WDR
SURCO 44/27 IP BULLET 2MP IP DOMO 2MP
WDR WDR
NORTE 40/20 IP BULLET 2MP IP DOMO 2MP
WDR WDR
SJL 40/15 IP BULLET 2MP IP DOMO 2MP
CERTUS WDR WDR
ATE 40/17 IP BULLET 2MP IP DOMO 2MP
WDR WDR
VES 43/9 IP BULLET 2MP IP DOMO 2MP
WDR WDR
CALLAO 41/23 IP BULLET 2MP IP DOMO 2MP
WDR WDR
AQP 25/10 IP BULLET 2MP IP DOMO 2MP
WDR WDR

74
 CIX 24/7 IP BULLET 2MP IP DOMO 2MP
WDR WDR
SAN MIGUEL 12/8 IP BULLET 2MP IP DOMO 2MP
WDR WDR
OLIVOS 40/7 IP BULLET 2MP IP DOMO 2MP
WDR WDR
UCAL MOLINA 31/22 IP BULLET 2MP IP DOMO 2MP
WDR WDR
Tabla 19. Inventario de Camaras IP
Fuente: (Elaboracion propia)

2. Inventario de NVR/DVR

EQUIPO VLAN IP MODELO SEDES

DHI-NVR5864-
NVR_1_CERTUS 200 [Link] CERTUS/SURCO
4KS2
DHI-NVR5864-
NVR_2_UCAL 100 [Link] UCAL/MOLINA
4KS2
[Link]
[Link]
NVR_970 506 DSS7016DR TLS/CHACARILLA
DSS CLIENT

PC_MONITOREO 230 [Link] DSS7016DR TLS/CHACARILLA

Tabla 20. Inventario de Dispositivos NVR/DVR
Fuente: (Elaboracion propia)

Se verifica que se tiene hasta 4 dispositivos de grabación en cada sede de cada Une. Dichos
equipos guardan hasta 3 meses de grabación.

Definir objetivos de la organización.

A continuación, se presentan los objetivos considerados por la organización

✓ Reducción de costos de operación

75
 ✓ Adicionar productos de Vanguardia tecnológica
✓ Mantener una posición competitiva en el mercado
✓ Brindar servicios con disponibilidad al 100%
✓ Mejorar la experiencia de Navegación de los alumnos
✓ Asegurar la continuidad del negocio
✓ Incrementar la productividad

Definir posibles limitaciones de la organización.

• Presupuesto
• Tiempo
• Políticas de Seguridad de la Información
• No afectar procesos de matrícula o campañas de call center clave durante la migración

Definir Objetivos Técnicos.

Los objetivos técnicos identificados a continuación están alineados a los objetivos de la

organización.

✓ Renovación Tecnológica.
✓ Simplificar la administración de Enlaces WAN.
✓ Reducir tiempos de atención de Incidentes y Requerimientos SLA.
✓ Proveer escalabilidad a la red.
✓ Proveer seguridad Perimetral a la red lan.
✓ Permitir compartir recursos y servicios.
✓ Proveer enlaces redundantes hacia internet
✓ Proveer una RED con calidad de Servicio (QoS).

76
Elaboración de RFP y Proceso de Licitación:

✓ Elaboración de RFP o Alcance Técnico

✓ Comunicación de Licitación para el Proyecto a Proveedores
✓ Elaboración de Cronograma de Visitas Técnicas para evaluar Factibilidad por parte del
proveedor.
✓ Elaboración de Cronograma de Consultas Técnicas vía google Meet.
✓ Recepción de Propuestas Técnicas para evaluación.
✓ Evaluación de Propuestas Técnicas.
✓ Comunicación de proveedor Adjudicador y proveedores que no ganaron

RFP:

Descripción de los Servicios:

- Internet
- Datos (mpls)
- Seguridad Cloud
- Seguridad DMZ
- Soporte SMARTNET

Sedes: Se detallan las sedes Remotas por cada Unidad de Negocio y los Data Center en donde
se tienen alojados los servicios Core de negocio.

UNE SEDES REMOTAS TAMAÑO Dirección

CAMPUS CHACARILLA GRANDE Av. Primavera 970
CAMPUS JAVIER PRADO GRANDE Av. Javier Prado Oeste 980
ITLS SEDE SAN MIGUEL MEDIANO Av. Universitaria 1027
SEDE LIMA NORTE MEDIANO Centro Comercial Plaza Norte
UCAL CAMPUS UCAL GRANDE Av. La molina 3755
SEDE SURCO GRANDE Av. Santiago de Surco N° 4717

77
 SEDE NORTE GRANDE Av. Industrial N° 3733
SEDE SJL GRANDE Av. Pirámide del Sol N° 810
SEDE ATE GRANDE Av. Nicolás Ayllón N° 816-818
SEDE AREQUIPA GRANDE Av. Los Incas Lote 1, Arequipa
CERTUS SEDE VILLA EL GRANDE Av. Pachacutec N° 403
SALVADOR
SEDE CALLAO GRANDE Av. Argentina N° 2430
SEDE CHICLAYO GRANDE Calle Manuel Urteaga N° 540
DATA CENTER LUMEN GRANDE Data Center Lima PERU
SEDE SAN MIGUEL MEDIANO Av. La Marina N° 3315
SEDE LOS OLIVOS MEDIANO Jr. Cajahuamán N° 863
Tabla 21. Direcciones de Sedes y Unidades de Negocio
Fuente: (Elaboracion propia)

Anchos de Banda: Aquí se definen los anchos de banda solicitados para cada sede y la data
center donde se tiene alojados los servicios Core, en la tabla se detallan el esquema de alta
disponibilidad aplicado.

Esquema de Alta Disponibilidad CERTUS: Activo – Pasivo

Esquema de Alta Disponibilidad ITLS: Activo – Activo
Esquema de Alta Disponibilidad UCAL: Activo - Activo

78
 UNE SEDE TIPO BW BW BW INTERNET
MPLS INTERNET BACKUP
PRINCIPAL
SEDE SURCO PRINCIPAL 200 Mbps
SEDE SURCO BACKUP 200 Mbps
SEDE SJL PRINCIPAL 100 Mbps
SEDE SJL BACKUP 100 Mbps
SEDE AQP PRINCIPAL 100 Mbps
SEDE AQP BACKUP 100 Mbps
SEDE PRINCIPAL 100 Mbps
CALLAO
SEDE BACKUP 100 Mbps
CALLAO
SEDE SM PRINCIPAL 50 Mbps
SEDE SM BACKUP 50 Mbps
SEDE NORTE PRINCIPAL 50 Mbps
CERTUS SEDE NORTE BACKUP 50 Mbps 1 Gbps 1 Gbps
SEDE ATE PRINCIPAL 50 Mbps
SEDE ATE BACKUP 50 Mbps
SEDE VES PRINCIPAL 100 Mbps
SEDE VES BACKUP 100 Mbps
SEDE CIX PRINCIPAL 50 Mbps
SEDE CIX BACKUP 50 Mbps
SEDE LOO PRINCIPAL 50 Mbps
SEDE LOO BACKUP 50 Mbps
SEDE LVL3 PRINCIPAL 200 Mbps
SEDE LVL3 BACKUP 200 Mbps
SEDE CHA PRINCIPAL 200 Mbps 600 Mbps -
SEDE JP PRINCIPAL 150 Mbps 540 Mbps -
ITLS SEDE NORTE PRINCIPAL 40 Mbps 50 Mbps -
SEDE SM PRINCIPAL 40 Mbps 50 Mbps -
UCAL SEDE PRINCIPAL 100 Mbps 300 Mbps -
MOLINA
DC - ISP KRUMDIECK PRINCIPAL - 600 Mbps 600 Mbps
DC - ISP KRUMDIECK BACKUP - 600 Mbps 600 Mbps
Tabla 22. Anchos de banda requeridos Internet y MPLS
Fuente: (Elaboracion propia)

Seguridad Cloud: En este punto se solicitó aspectos y Características de seguridad

perimetral que fueron alineados a las necesidades del negocio y la creciente amenaza de
ataques cibernéticos hacia servicios Core del negocio.

79
 UNE Equipo de Seguridad Características
Firewall Perimetral Antivirus, IPS, FILTRO WEB, CONTRO APPS
Certus Cloud VPN SSL, VPN IPSEC, Esquema HA.

AntiDDos Cloud Protección de Ataques Volumétricos y Fuerza bruta

Firewall Perimetral Antivirus, IPS, FILTRO WEB, CONTRO APPS,
Cloud VPN SSL, VPN IPSEC, Esquema HA.
ITLS/UCAL
Sandboxing Cloud Protección Ransonware, Antispyware, zero day
AntiDDos Cloud Protección de Ataques Volumétricos y Fuerza bruta.
WAF Cloud Protección Servicios Publicados.
Tabla 23. Caracteristicas de Seguridad Firewall
Fuente: (Elaboracion propia)

Seguridad DMZ: En la sede TLS Chacarilla se consideraron 2 Equipos FW para mantener

la DMZ existente, así como las conexiones hacia el SW CORE L3.

UNE Equipo de Seguridad Características

DMZ
Antivirus, IPS, FILTRO
TLS SEDE FIREWALL DMZ WEB, CONTRO APPS
CHACARILLA DNS FILTERING, WAF
Tabla 24. Caracteristicas de Seguridad Firewall DMZ
Fuente: (Elaboracion propia)

Soporte SMARTNET: Se solicitó al proveedor brindar un contrato de Soporte SMARTNET

con el fabricante CISCO debido a que algunos equipos CORE se encontraron fuera de soporte.

80
 SEDES MARCA MODELO HA SMARTNET
CHACARILLA CISCO Nexus9000 C9372PX PRINCIPAL 1 Años
chassis
CHACARILLA CISCO Nexus9000 C9372PX BACKUP 1 Años
chassis
JAVIER CISCO Nexus9000 93180YC-EX PRINCIPAL 1 Años
PRADO chassis
JAVIER CISCO Nexus9000 93180YC-EX BACKUP 1 Años
PRADO chassis
Tabla 25. Listado Equipos Soporte SMARNET
Fuente: (Elaboracion propia)
Condiciones de Soporte y SLA:

- El nivel de servicio debe ser al menos al 99.95%

- Tiempos de Atención ante incidentes menores a 4 hrs de resolución
- Tiempos de Atención ante requerimientos menores a 8 hrs de resolución

Condiciones de Entrega y Forma de Pago:

Aquí se definen los anchos de banda solicitados para cada sede y el data center donde se tiene
alojados los servicios Core, en la tabla se detallan el esquema de alta disponibilidad aplicado.

- Se deberá efectuar en 45 días calendario como máximo

- Los pagos se realizan en nuevos soles, dentro de los 90 días de presentada la factura
- El contrato tendrá una duración de 24 meses como mínimo.

Definir posibles limitaciones técnicas.

• Cantidad de IPS publicas

• Capacidad de interfaces de red (transceiver, patch Core de fibra)
• Integración con otras marcas utilización de protocolos estándar
• Direccionamiento IP Publico usado en entornos privados

81
• Cantidad de segmentos de red sin sumarizar

[Link] Fase de Planeación

En esta etapa se realiza la planificación técnica para la ejecución del cambio de proveedor
ISP, migración de servicio de internet e implementación de buenas prácticas y aplicación de
mejoras al campo de la seguridad perimetral.

Siguiendo el modelo de Referencia PPDIOO de cisco se tiene los siguientes 3 pasos.

Paso 1: Identificar Información, documentación de la Organización

En este punto se realiza una revisión general de la red actual, se ejecuta el levantamiento de
información buscando deficiencias

Para identificar información se hace uso de herramientas que permitan levantar información
de red de equipos de borde como routers cpe, switches core, firewall, conexiones a nivel de
interfaces físicas.

Existen herramientas que permiten recoger datos de la red como uso de memora, CPU de
equipos cisco u otros fabricantes. Se puede hacer uso de un Cisco Prime en equipos de marca
cisco o un airwave en el caso de la marca Aruba y HP.

Es importante recoger la siguiente información:

a. Uso de CPU/RAM no más de 75% por intervalos de 5 minutos.

b. Tiempos de respuesta hacia internet, estos deben ser menores a 50 ms.
c. Tiempos de respuesta entre sedes remotas debe ser menores a 3 ms.
d. Las conexiones a nivel WAN deberán tener un uso menor al 70%
e. Validar si existe segmentación Lógica a nivel de direccionamiento IPv4/IPv6

82
f. Validar si todos los segmentos de red trabajan con direccionamiento privado
g. Validar si existen aplicaciones que están asociados a alguna IP Publica en sus archivos de
configuración.
h. Validar la cantidad de IPS Publicas
i. Identificar la cantidad y tipos de puertos que se tienen aperturados por aplicación o servicio.
j. Validar el tipo de calidad de servicio y caudales asignados a los tipos de trafico
k. Validar políticas de seguridad, permisos, accesos.
l. Identificar cantidad de conexiones IPSEC.
m. Identificar cantidad de portales VPN SSL.

Paso 2: Realizar una Auditoria de red que agregue detalles a la descripción de la red.

El proceso de levantamiento de información conllevo la ejecución de comandos a través de la

línea de comandos CLI usando comandos SHOW, DEBUG, LOG, TRAZAS, ICMP, todo esto
aplicado a las 3 Capas (Acceso, Distribución y Core)

>SHOW VERSION
>SHOW RUN
>SHOW IP INT BRIEF
>SHOW PROCESS CPU
HISTORY
>DEBUG IP ROUTE
>SHOW LOG
>TRACERT [IP]
>PING [IP]

Tabla 26. Listado de comandos CLI

Fuente: (Elaboracion propia)

Estos comandos también fueron aplicados al equipo de seguridad Firewall Fortinet

83
Paso 3: Herramientas para inventario de RED

A continuación, se muestra el inventario de equipos recogidos con la herramienta Airwave de

Aruba en la cual se muestran los datos del equipo a nivel de Networking y Wireless, la unidad
de negocio de Certus el 80% de su equipamiento a nivel LAN y Wireless están bajo un
esquema de alquiler.
Para la recolección de Información correspondiente a las UNES de TLS y UCAL se utilizó
una herramienta de cisco prime en la cual se identificación equipamiento fuera de soporte.

Equipamiento UNE TLS y UCAL fuera de Soporte:

SURCO
- Nexus9000 C9372PX chassis - SN: SAL2006Y5TE
- Nexus9000 C9372PX chassis - SN: SAL2006Y9M0

JAVIER PRADO
- Nexus9000 93180YC-EX chassis - SN: FDO204203SV
- Nexus9000 93180YC-EX chassis - SN: FDO204203TX

MOLINA
- Nexus3500 C3548P-10GX Chassis - SN: FOC2246R0WS
- Nexus3500 C3548P-10GX Chassis - SN: FOC2246R0ZS

84
 SW SW
Ubicación Piso Nombre de Switch / AP Rol Marca Modelo
Version Imagen
5.20.105,
Release
CERLIMSURSWCORE_01 CORE HP A5820X-24XG-SFP+ 5.20.105 1808P27
Datacenter
5.20.105,
Release
CERLIMSURSWCORE_01 CORE HP A5820X-24XG-SFP+ 5.20.105 1808P27
J9729A 2920-48G-
Pabellón 1 CERLIMASURSWACS_Piso1 ACCESO HP POE+ WB.15.16 WB.15.16.0005
CERLIMASURSWACS_CIDOC ACCESO HP HP J9147A 2910al-48G N.11.15 N.11.15
CERLIMASURSWACS_01P2 ACCESO HP HP J9147A 2910al-48G W.15.14 W.15.14.0009
Pabellón 2
CERLIMASURSWACS_02P2 ACCESO HP J9147A 2910al-48G W.15.14 W.15.14.0009
5.20.99 Release
CERLIMSURSWACS_P03_01 ACCESO HP 5500-48G-PoE+-4SFP 5.20.99 5501P03
5.20.99 Release
CERLIMSURSWACS_P03_01 ACCESO HP 5500-48G-PoE+-4SFP 5.20.99 5501P03
ProCurve J9022A
Pabellón 3 CERLIMSURSWACS_P03_04 ACCESO HP Switch 2810-48G N.11.15 N.11.15
CERLIMSURSWACS_P03_02 ACCESO HP J9147A 2910al-48G W.14.06 W.15.14.0009
HP J9729A 2920-48G-
CERLIMSURSWACS_P03_03 ACCESO HP POE+ WB.16.01 WB.16.01
WLC_PRC_P3 CONTROLADOR ARUBA Aruba7030 [Link] [Link]
J9727A 2920-24G-
CERLIMSURSWACS_P04_01 ACCESO HP PoE+ WB.15.16 WB.15.16.0005
Pabellón 4
ProCurve J9147A
CERLIMSURSWACS_P04_02 ACCESO HP 2910al-48G W.14.06 W.14.38
CERLIMSURSWACS_P05_02 ACCESO HP J9145A 2910al-24G W.14.38 W.14.38
Pabellón 5
CERLIMSURSWACS_P05_03 ACCESO CISCO WS-C2960S-48FPS-L 12.2(55)SE3 C2960S-
J9729A 2920-48G-
CERLIMSURSWACS_P06_02 ACCESO HP POE+ WB.16.03 WB.16.03.0003
Pabellón 6
J9729A 2920-48G-
CERLIMSURSWACS_P06_03 ACCESO HP POE+ WB.16.02 WB.15.15.0012

85
 J9729A 2920-48G-
Pabellón 7 CERLIMSURSWACS_P07_01 ACCESO HP POE+ WB.16.03 WB.16.03.0003
CERLIMSURSWACS_P07_02 ACCESO HP J9145A 2910al-24G W.15.14 W.15.14.0009
J9729A 2920-48G-
CERLIMSURSWACS_P08_01 ACCESO HP POE+ WB.16.01 WB.16.01.0007
Pabellón 8
J9729A 2920-48G-
CERLIMSURSWACS_P08_01 ACCESO HP POE+ WB.16.01 WB.16.01.0007
J9729A 2920-48G-
CERLIMSURSWACS_P09_01 ACCESO HP POE+ WB.16.01 WB.16.01.0007
Pabellón 9
J9729A 2920-48G-
CERLIMSURSWACS_P09_01 ACCESO HP POE+ WB.16.01 WB.16.01.0007
J9729A 2920-48G-
CERLIMSURSWACS_P10_01 ACCESO HP POE+ WB.16.01 WB.16.01.0007
Pabellón 10
J9729A 2920-48G-
CERLIMSURSWACS_P10_01 ACCESO HP POE+ WB.16.01 WB.16.01.0007
AP_PRC_P9_PZO2 ACCESS POINT ARUBA 215 [Link] 8.5.0.4_72900
AP_PRC_P9_PZO1 ACCESS POINT ARUBA 215 [Link] 8.5.0.4_72900
AP_PRC_P8_PAS ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
AP_PRC_P7_PZO2 ACCESS POINT ARUBA 215 [Link] 8.5.0.4_72900
AP_PRC_P7_PZO1 ACCESS POINT ARUBA 215 [Link] 8.5.0.4_72900
AP_PRC_P6_PZO2 ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
AP_PRC_P6_PZO1 ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
Access AP_PRC_P4_LAB4 ACCESS POINT ARUBA 215 [Link] 8.5.0.4_72900
Poin AP_PRC_P2_PZO2 ACCESS POINT ARUBA 215 [Link] 8.5.0.4_72900
AP_PRC_P1_PAT ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
AP_PRC_P1_COMEDOR ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
AP_PRC_P1_CID ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
AP_PRC_Backup2 ACCESS POINT ARUBA 315 [Link] 8.5.0.4_72900
AP143 ACCESS POINT ARUBA 115 [Link] 8.5.0.4_72900
AP142 ACCESS POINT ARUBA 115 [Link] 8.5.0.4_72900
AP141 ACCESS POINT ARUBA 115 [Link] 8.5.0.4_72900

Tabla 27. Inventario Equipos Certus sede Principal

Fuente: (Elaboracion propia)

86
[Link] Fase de Diseño

Finalmente, después de realizar el recojo de información y la auditoria a la red para saber su

estado de salud actual, con todo esto se procede a desarrollar y proponer el Diseño de la RED
que tienen 4 Ejes fundamentales los cuales se encuentran alineados a las necesidades y
objetivos de la organización.

✓ Esquema de direccionamiento IPv4

✓ Diagrama de Diseño de RED WAN LAN
✓ Diagrama de Diseño de Seguridad
✓ Diseño de Calidad de Servicio para Telefonía IP

Así mismo continuando con el proceso de diseño definido en la metodología PPDIOO los
pasos a seguir son los siguientes:

Paso 1: Análisis de los requisitos de la aplicación y organización

En este paso se realiza una evaluación de todos los requisitos que se obtuvieron del
levantamiento de información adicionalmente se usa la información de la salud de red
incluyendo el rendimiento de las conexiones, equipamiento y componentes de red.

Se analiza también los tiempos de respuesta hacia internet y nubes privadas, conexión entre
sedes remotas, se miden los tiempos de respuesta delay, intermitencia, jitter.

El diseño se consideró en base a los lineamientos, objetivos y necesidades del negocio.

87
Diseño de RED WAN

Figura 20. Diseñp de RED FISICA – WAN IEDUCA

Fuente: (Formatos proyectos ieduca)

88
Consideraciones del Diseño:

1. En el diagrama de red físico se plantea un esquema de arquitectura FULL MESH, en la cual cada sede correspondiente a cada
UNE puede comunicarse con otra sin necesidad de ir a una cabecera central.
2. La arquitectura Full Mesh tiene como ventajas reducir los tiempos de respuesta entre sedes remotas y asegurar la comunicación
directa sin aumentar los saltos entre ambas.
3. Para la UNE CERTUS se plantea un esquema de Activo – Pasivo, en la cual tanto el enlace principal como contingencia tienen
rutas distintas y aseguran la alta disponibilidad de la sede.
4. El internet centralizado para CERTUS se encuentra ubicado en el Data Center del proveedor el cual es un Data Center tier3
que brinda contingencia a nivel de salidas internacionales hacia internet.
5. Tanto para TLS/UCAL se plantea un Esquema Activo – Activo en la cual ambos enlaces tanto MPLS como Internet se
encuentran activos y es la funcionalidad de SDWAN de los equipos Fortinet quien decide el mejor camino para enrutar los
paquetes hacia los destinos.
6. Cada sede remota de TLS/UCAL cuenta con un internet en cada sede la cual brinda conexión hacia internet y seguridad
perimetral en cada sede.
7. Las publicaciones o nateos se realizan en cada SEDE DE TLS/UCAL reduciendo con esto los tiempos de respuesta hacia dichos
servicios.
8. Ante la caída del servicio de Internet en las sedes de TLS/UCAL los Equipos Fortigate 200E instalados en cada sede toman la
decisión de conmutar los paquetes hacia la salida de Internet Centralizada ubicada en el DC de Krumdieck del proveedor.
9. En cada sede se consideraron equipos router que puedan soportar los anchos de banda definidos en el RFP, así como al
incremento a futuro en caso de realizar un upgrade.
10. Bajo este diseño se logra mejorar la gestión de las sedes remotas bajo una sola plataforma de administración y control.

89
11. La arquitectura Full Mesh nos permite compartir recursos y servicios bajo la tecnología MPLS aplicando Calidad de servicio
según el trafico sea encapsulado.
12. Al tener un mayor control de las sedes y monitoreo se logra ejecutar un proceso de troubleshooting mas rápido y reporte en
caso de una avería por parte del proveedor.
13. Para la conectividad se consideró enrutamiento estático, creando rutas hacia cada sede remota.

90
Topología SDWAN

Figura 21. Topologia de RED SDWAN –IEDUCA

Fuente: (Formatos proyectos ieduca)

91
Consideraciones del Diseño:

1. Se aprovecha la funcionalidad de SDWAN embebida en los equipos Fortinet sin necesidad de contar con un licenciamiento
especial que encarezca la solución.
2. Dicha funcionalidad principalmente establece que al tener 2 salidas hacia internet ya sea a través de diferentes tecnologías
como (INTERNET, MPLS,4G/5G ETC), se puede utilizar ambas para enviar el tráfico por el mejor camino en términos de
Latencia, Delay, Perdida de paquetes, Jitter.
3. La topología diseñada permite aprovechar el uso de SDWAN al tener 2 salidas de Internet uno en las sedes de TLS/UCAL y la
otra usando el internet centralizado de CERTUS, sin perder comunicación hacia los servicios hosteados en las nubes privadas
que actualmente se tienen.
4. Los servicios que se encuentran publicados están configurados de tal manera que al utilizar una IP Publica en determinado
momento puedan usar otra sin necesidad de cambio o configuración a nivel del DNS, esto debido a que cada publicación o
nateo se asigna a un POOL de direcciones IPS registradas en la sede remota y la sede centralizada.

92
Topología de RED Telefonía VOIP

Figura 22. Topologia de Telefonia IP

Fuente: (Formatos proyectos ieduca)

Consideraciones del Diseño:

1. Para mejorar el uso de recursos a nivel de Telefonía IP se aprovecha el diseño de red

WAN utilizando MPLS para priorizar el tráfico de VOZ entre las sedes.

93
 2. Bajo este esquema se pueden utilizar ambos sistemas de Telefonía IP (AVAYA,
CISCO), y de esta forma poder aprovechar mejor los recursos del negocio sin incurrir
en más gastos.
3. En el diseño se observa que TLS y UCAL ahora pueden compartir la central telefónica
y ante una avería en cualquiera de las sedes el servicio permanezca activo gracias al
esquema de replicación de servidores IP que se plantea.
4. Así mismo los anexos telefónicos de cada sede se registrarán en cada equipo
SUBSCRIBER y PUBLISHER para de esta forma tener redundancia ante la caída de
cualquier de estos equipos.
5. El ingreso de las llamadas permanece en cada sede y se mantienen los números de cada
central telefónica correspondientemente.

Plan de Direccionamiento IPv4

El esquema de direccionamiento IPv4 Propuesto obedece principalmente a solucionar los

siguientes problemas:

- Duplicidad de IPs
- Traslape de Subredes
- reducir los dominios de Broadcast
- Optimizar el tráfico Broadcast LAN.
- Optimizar el uso de segmentos de red LAN virtual (VLAN)
- Sumarizar segmentos de RED.

UNE Sedes RED Descripción VLAN ID Segmento de

SUBRED
red_cableada 100 [Link]/24
red_wifi 101 [Link]/24
red_servidores 102 [Link]/24
ADMIN red_telefonia 103 [Link]/24
CERTUS Sede Surco red_videovigilancia 104 [Link]/24
red_gestion 105 [Link]/24
red_dispositivos 106 [Link]/24
ACAD red_aulas_labos 200 [Link]/23
94
 red_wifi 201 [Link]/22
red_cableada 100 [Link]/24
red_wifi 101 [Link]/24
red_Servidores 102 [Link]/23
red_telefonia 103 [Link]/24
ADMIN red_videovigilancia 104 [Link]/24
ITLS Campus red_gestion 105 [Link]/24
Chacarilla red_dispositivos 106 [Link]/24
red_DMZ 107 [Link]/23
red_cableada 200 [Link]/24
ACAD red_wifi 201 [Link]/22
red_servidores 202 [Link]/24
red_cableada 100 [Link]/24
red_wifi 101 [Link]/24
red_Servidores 102 [Link]/24
red_telefonia 103 [Link]/24
ADMIN red_videovigilancia 104 [Link]/24
UCAL Campus La red_gestion 105 [Link]/24
Molina red_dispositivos 106 [Link]/24
red_DMZ 107 [Link]/24
red_cableada 200 [Link]/24
ACAD red_wifi 201 [Link]/22
red_servidores 202 [Link]/24
Tabla 28. Plan de Direccionamiento IP Sedes (molina, chacarilla, surco)
Fuente: (Elaboracion propia)
La tabla 28 nos muestra el detalle de las sedes más críticas de cada UNE y el direccionamiento
IP utilizado.
En la mayoría de casos se hizo uso de un direccionamiento privado IPv4 clase A, debido a la
cantidad de subredes que el negocio requiere.

Los segmentos de RED Wifi son los que mayor cantidad de IPS utilizables tienen debido a que
en cada campus o sede de las UNES se brinda el servicio de Wifi a los estudiantes.

UNE Sedes RED ADMIN RED ACAD

Sede Surco [Link]/16 [Link]/16
Sede SJL [Link]/16 [Link]/16
Sede Norte [Link]/16 [Link]/16
Sede Ate [Link]/16 [Link]/16

95
 CERTUS Sede Olivos [Link]/16 [Link]/16
Sede VES [Link]/16 [Link]/16
Sede Callao [Link]/16 [Link]/16
Sede Arequipa [Link]/16 [Link]/16
Sede Chiclayo [Link]/16 [Link]/16
Sede San Miguel [Link]/16 [Link]/16
Campus Chacarilla [Link]/16 [Link]/16
ITLS Campus Javier Prado [Link]/16 [Link]/16
Sede Lima Norte [Link]/16 [Link]/16
Sede San Miguel [Link]/16 [Link]/16
UCAL Campus La Molina [Link]/16 [Link]/16
Tabla 29. Resumen Sumarizado Plan de Direccionamiento IP Sedes IEDUCA
Fuente: (Elaboracion propia)

La tabla 29 muestra un resumen de las REDES por cada unidad de negocio y sus respectivas
sedes.

En esta podemos observar que todas las Redes son distintas y se corrige el problema de
duplicidad que dificulta la comunicación bajo un esquema de red full mesh.

Listado de Equipamiento:

A continuación, se lista el total de equipos considerados para implementar la Arquitectura de

Red.

Equipamiento WAN

Equipos Tipo Cantidad Imagen Detalles

CISCO Router 4 Ver ANEXO 1:
ASR 920 DATASHEET Cisco
ASR 920

96
FG-200E Router 8 Ver ANEXO 2:
DATASHEET FG-
200E.

CISCO Router 4 Ver ANEXO 3:

ISR 1100 DATASHEET
CISCO ISR 1100 4 p

FG-501E Router 2 Ver ANEXO 4:

DATASHEET FG-
501E.

FG-60F Router 16 Ver ANEXO 5:

DATASHEET FG-
60F

Tabla 30. Listado Equipamiento Router

Fuente: (Elaboracion propia)
Equipamiento LAN

Equipos Tipo Cantidad Imagen Detalles

Ver ANEXO
6:
Nexus Switch 2 DATASHEET
9k Core Cisco Nexus
9k

Tabla 31. Listado Equipamiento Lan

Fuente: (Elaboracion propia)

Equipamiento DMZ y Seguridad Perimetral

Equipos Tipo Cantidad Imagen Detalles

Ver ANEXO
Fortinet Firewall 2 7:
Cabecera DATASHEET
FG5001E

97
 Ver ANEXO
Fortinet Firewall 2 8:
DMZ DATASHEET
Cisco
FG501E

Ver ANEXO
Fortinet Firewall 4 9:
SDWAN DATASHEET
FG200E
Tabla 32. Listado Equipamiento Firewall y DMZ
Fuente: (Elaboracion propia)

Equipamiento Reporteador y Componentes

Equipos Tipo Cantidad Imagen Detalles

Ver ANEXO
Fortinet FAZ 1 10:
DATASHEE
T 800F
Ver ANEXO
11:
Componente Transceiver 15 DATASHEE
s T

Tabla 33. Listado Equipamiento Faz y Componentes

Fuente: (Elaboracion propia)

Diseño de Calidad de Servicio a Nivel LAN/WAN y Telefonía IP

Calidad de Servicio

El tratamiento de tráfico bajo políticas de Calidad de Servicio (QoS) que permitan la

administración de las Clases de Servicio para brindar priorización del tráfico de datos, Voz y
Video garantizando de esta manera el funcionamiento de sus aplicaciones, brindando además la
ampliación de planes hasta 5 Calidades de Servicio (03 Calidades de Servicio de manera
estándar).

98
 Figura 23. Calidad de Servicio WAN
Fuente: (Proveedor America Movil)

La calidad de servicio se mantendrá dinámico con la siguiente característica:

✓ El COS1 podrá utilizar todo el ancho de banda disponible en caso no sea utilizado por
el COS2 y COS3.

✓ El COS2 podrá utilizar el ancho de banda del COS1 y COS3 siempre y cuando se tenga
ancho de banda disponible y será remarcado con COS1.

✓ El COS3 sólo utilizará el ancho de banda propuesto en cada sede, el excedente será
descartado.

Basado en la necesidad del negocio de priorizar ciertos tipos de tráfico se identificaron los
siguientes tipos de trafico

1. Tráfico de Datos Críticos

2. Tráfico de Datos No Críticos (Internet)
3. Tráfico de Voz y Video

99
Para el manejo del tráfico de voz, datos y video se aplicará la marcación de paquetes a dscp bajo
este esquema se definen la siguiente secuencia para realizar la aplicación de la calidad de
servicio.

ip access-list extended AUTOQOS_VOIP_DATA_CLASS

permit [Link] [Link]
permit [Link] [Link]
permit [Link] [Link]
deny ip any any

Primero se realiza un filtrado de segmentos de red a los cuales se desea aplicar el marcado de
paquetes.

class-map match-all AUTOQOS_VOIP_DATA_CLASS

match access-group name
AUTOQOS_VOIP_DATA_CLASS
match ip dscp ef

Segundo se realiza un proceso de cotejo de paquetes para identificar el tipo de tráfico

proveniente de la Lista de Acceso anteriormente definido y se aplica el valor de dscp a los
paquetes permitidos.

Tercero, ya teniendo identificado el tráfico a priorizar se aplica un ancho de banda definido para
dicho tráfico.

100
 interface GigabitEthernet1/0/6 Numero de Interface
switchport access vlan 20 Vlan de datos
switchport mode access Tipo de Puerto
switchport voice vlan 100 Vlan de voz
switchport port-security maximum 2 Cantidad de host permitidos 2
switchport port-security violation Politica de bloqueo
restrict
srr-queue bandwidth share 1 30 35 5 Aplicación de Politica QoS
AUTOQOS-QOS-VOIP-POLICY
Tabla 34. Configuracion Interface Lan
Fuente: (Elaboracion propia)

Finalmente, esta última política se aplica en la interface que va conectada a los endpoint.

Diseño de Seguridad

Este punto muy importante que es la seguridad de la información se aborda en este punto desde
el punto de vista perimetral puesto que el equipo de seguridad propuesta brinda las
funcionalidades necesarias para evitar ataques y prevenir cualquier robo o secuestro de
información.

El diseño de seguridad se abordar desde 3 Frentes.

- SEGURIDAD PERIMETRAL
- SEGURIDAD DMZ
- SEGURIDAD LAN NETWORKING

101
Seguridad Perimetral

Perfiles de Navegación WEB

En este punto se identificaron tipos de usuarios finales por cada UNE y cada sede
respectivamente además de esto los servicios Web que usan recurrentemente fueron mapeados
para posteriormente Permitir o Denegar su acceso.

Debido a que todo el personal administrativo se encuentra dispersado en cada SEDE de las
UNES, es aquí donde se aplicaran perfiles de navegación distintos en base a las necesidades del
negocio y de los mismos trabajadores.

Tipos de Usuarios Administrativos:

- Gerentes
- Jefe de Sede
- Personal de Ventas
- Personal de Cobranza
- Personal de Seguridad
- Invitados y Proveedores

En base a esta identificación se definen los siguientes grupos con sus respectivos filtros web y
control de aplicaciones.

1. Grupo Gerentes: Acceso Total y llamadas por Internet.

2. Nivel3: Nivel2 + Acceso a Streaming Video (Netflix, Spotify)
3. Nivel2: Nivel1 + Acceso a Descargas y Share Bandwidth
4. Nivel1: Nivel0 + Acceso a Redes Sociales
5. Nivel0: Grupo con accesos a paginas intranet, Gobierno, Correo.

102
Perfiles de Seguridad FSSO

Gerentes Nivel 0 Nivel 1 Nivel 2 Nivel 3

MARCAR CON X
PARA BLOQUEAR
Filtro de Skype X X X
Aplicacio
P2P
nes X
Juegos X X X X X
Actualizaciones
Redes Sociales (Social
Media) X
Video/Audio X X
MARCAR CON X
PARA BLOQUEAR
Filtro
Web
Abuso infantil X
Discriminación X
Abuso de drogas X X X X X
Violencia explícita X X X X X
Grupos extremistas X X X X X
Hacking X X X X X
ilegal o poco ética X X X X X
Plagio X X X X X
Anulación de Proxy X X X X X
Contenido para
X
adultos X X X X
Pornografía X X X X X
Educación sexual X X X X X

103
Caza deportiva y
X
juegos de guerra X X X X
Tabacco X X X X X
Armas (ventas) X X X X X
Consumo de ancho
X
de banda X X X X
Intercambio de
archivos y X
almacenamiento X X X X
Freeware y descargas
de software
Radio y TV por
X
internet X X
Telefonía por internet X X X X
Intercambio de
archivos punto a X
punto X X X
Streaming de medios
X
y descarga X X X
Riesgo de seguridad X X X X
Páginas web
X
maliciosas X X X
Suplantación de
identidad
URL de spam X x X x x
Juegos X X X
Religión global X X X
Salud y Bienestar X X X
Mensajería
X
instantánea

104
 Redes sociales X X X
Excepciones Gmail Gmail Gmail Gmail Gmail
bancos bancos bancos bancos bancos
Ministerios Ministerios Ministerios Ministerios Ministerios
infocorp infocorp infocorp infocorp infocorp
indecopi indecopi indecopi indecopi indecopi
sunat sunat sunat sunat sunat
[Link] admincrm.c admincrm.c admincrm.c [Link]
[Link] [Link] [Link] [Link] [Link]
adminpagovir adminpagov adminpagov adminpagov adminpagovir
[Link] [Link]. [Link]. [Link]. [Link]
[Link] [Link] [Link] [Link] [Link]
adminpagovir adminpagov adminpagov adminpagov adminpagovir
[Link] [Link] [Link] [Link] [Link]
.[Link] [Link] [Link] [Link] .[Link]

Tabla 35. Perfiles de Navegacion WEB

Fuente: (Elaboracion propia)

Filtros WEB y Control de Aplicaciones

El servicio de Contenido Web Filtro busca optimizar recursos de red del negocio, así como enfocar los recursos humanos a tareas
principalmente del negocio.

El equipo de seguridad aplicara el filtro web que corresponda según el grupo de AD que detecte durante la sesión de los usuarios y la
conexión a la RED en cualquier sede remota de cada UNE.

105
Sincronización FSSO:

Una vez completado el formato de navegación web, se realiza la integración de Agente

FSSO de Fortinet con el Active Directory para recolectar los intentos de conexión y
aplicar la política según el grupo que se encuentre el usuario autenticado.

Figura 24. Grupos de Active Directory

Fuente: (Elaboracion Propia)

Después de crear los grupos de AD y agregar los usuarios a cada grupo según
corresponda, se procede a seleccionar los controladores de dominio de los cuales se
recogerá los intentos de conexión.

Figura 25. Servidores AD Certus

Fuente: (Elaboracion Propia)

106
En este punto se muestran los controladores de Dominio disponible con los cuales se
establecerá conexión y se recogerán las autenticaciones.

Figura 26. Colector FSSO

Fuente: (Elaboracion Propia)

Finalmente se instala el agente colector FSSO Fortinet para recolectar las sesiones y
también es usado para realizar troubleshooting.

Conexión Remota VPN SLL

Para temas de conexión remota se consideró realizar la conexión hacia el AD mediante

LDAP para que de esta forma los usuarios que deseen conectarse de manera remota a los
servicios internos de la empresa, lo puedan hacer de manera simple usando su cuenta de
dominio o correo.

Sincronización LDAP para conexión VPN SSL

Figura 27. Servidores LDAP - Fortigate

Fuente: (Elaboracion Propia)

107
 Figura 28. Servidores LDAP – ieduca [Link]
Fuente: (Elaboracion Propia)

Adicionalmente de la Sincronización se realizó la restricción a las conexiones VPN SSL

limitando el acceso a IPS Publicas solo desde Perú y Venezuela.

Figura 29. VPN SSL – Restricciones por Pais.

Fuente: (Elaboracion Propia)

Para prevenir Ataques de Fuerza Bruta se consideró aplicar políticas de sensores IPS y
proteger ambientes de producción y desarrollo que cuentan con servidores WINDOWS.

108
 Figura 30. Sensor IPS
Fuente: (Elaboracion Propia)
Sanboxing Cloud

Se aprovechará este servicio brindado por el proveedor ISP en la cual se brinda análisis
de tráfico y envió hacia un sistema Sanboxing cloud en la cual se evitará tener archivos
infectados que afecten la red, prevenir ataques de día Zero.

Seguridad a Nivel LAN

A nivel LAN las consideraciones de seguridad que se aplicaron fueron restringir los
puertos de acceso a máximo 2 dispositivos (Teléfono y PC/LAPTOP), si por alguna razón
se excede el número de dispositivos conectados este puerto se bloquea.

Con esto evitamos que se usen los puertos disponibles como un punto troncal donde se
pueda conectar un repetidor y conectar más de 1 dispositivo.

PortSecurity

interface GigabitEthernet1/0/6 Numero de Interface

switchport access vlan 20 Vlan de datos
switchport mode access Tipo de Puerto
switchport voice vlan 100 Vlan de voz
switchport port-security maximum 2 Cantidad de host permitidos 2

109
switchport port-security violation Política de bloqueo
restrict
srr-queue bandwidth share 1 30 35 5 Al exceder la cantidad de dispositivos
AUTOQOS-QOS-VOIP-POLICY permitidos.
Tabla 36. Configuracion Interface LAN – Port Security
Fuente: (Elaboracion propia)

La funcionalidad de PortSecurity es usado para lograr cerrar un hueco de seguridad

interna.

Seguridad DMZ

Debido al incremento de Ciberataques se consideró reforzar la zona DMZ considerando

2 Equipos en Alta disponibilidad y adicionando una licencia de Seguridad WAF.

Figura 31. Topologia DMZ

Fuente: (Elaboracion Propia)

110
Debido a los servicios críticos que se tiene hosteados en la sede de Chacarilla se realizó
la instalación de 2 equipos FG-501E en un esquema de alta disponibilidad Activo –
Pasivo.

Al tener 2 equipos lo suficientemente robustos como para soportar la carga de conexiones

y trafico saliente y entrante se realizó el movimiento de servidores que se encontraron en
la red LAN hacia la red DMZ y así brindarle una capa de seguridad adicional.

Con la funcionalidad y licencia de WAF se incorpora un filtro de seguridad adicional para

servicios publicados.

Figura 32. Listado de IPS nateadas

Fuente: (Preparacion Propia)

La imagen 32 se lista la cantidad de servicios publicados que brinda TLS. Se evidencia

también que algunos servidores se encuentran configurados en la red LAN el cual siempre
se encuentra expuesto a cualquier ataque interno o externo, este problema fue solucionado
con el movimiento de servicios hacia la interface DMZ la cual tiene mayores filtros de
seguridad y no se encuentra expuesta a ataques de manera interna.

111
Paso 2: Diseño desde la parte superior del modelo de referencia OSI

Alta Disponibilidad a Nivel del Resolución DNS

Para no perder la conexión hacia servicios internos e internet se planteó instalar un servidor DNS
Local y un DNS Remoto ubicado en el Data Center del Proveedor.
Se configuro un servidor principal y secundario en cada tarjeta de red de los dispositivos finales.

Figura 33. Configuracion DNS Primario y Secundario

Fuente: (Elaboracion Propia)
Alta Disponibilidad a Nivel del servicio DHCP

El servicio DHCP se consideró implementarlo bajo un esquema de alta disponibilidad para no

perder la asignación de direcciones IPs publicas ante la caída del servidor WINDOWS quien es el
servidor principal, el servidor secundario se encuentra ubicado en los equipos router.

Paso 3: Reunir datos adicionales en la red.

Adicionalmente para hacer un uso correcto del ancho de banda se definieron configurar los
siguientes Traffic Shaper para poder asignar estos a cada servicio o subredes LAN.

Esta funcionalidad permite establecer porcentajes de ancho de banda reservados.

112
 Figura 34. Configuracion Traffic Shaper - Fortigate
Fuente: (Elaboracion Propia)

También se consideró aplicar horarios a las políticas del firewall para que se puedan descargar
actualizaciones de Windows o de antivirus durante un horario no productivo que afecte el ancho
de banda.

Figura 35. Configuracion Policy Horarios

Fuente: (Elaboracion Propia)

113
[Link] Fase de Implementación

En esta etapa se sigue con la instalación de equipos físicos, así como su configuración en esta etapa
se debe proponer a detalle el plan de contingencia y un plan de rollback en caso de falla total. El
objetivo principal que debe ser cumplido es implementar los nuevos equipos sin comprometer la
disponibilidad de la red y no interrumpir el servicio en horario laboral, de ser necesario se definen
ventanas de trabajo previa autorización de lo PO del negocio.

De preferencia se recomienda migrar un segmento de red no crítico y validar su funcionamiento

después del pase a producción, e ir migrando todos los servicios paulatinamente.

A continuación, se detallan las actividades a nivel técnico que se ejecutaran durante el proceso de
cambio de operador, también se detalla el plan de rollback en el caso se presente algún
inconveniente y se pueda dar solución dentro de un ambiente controlado.

Finalmente, se estable el Checklist para validar que todas las actividades fueron concretadas de
manera exitosa.

114
 Plan de Trabajo pase a Producción

Plan de Trabajo Implementación de servicios Datos e Internet

Proyecto Migración operador Internet y Datos
Breve Descripción Implementación de servicios Datos e Internet
Responsable del Plan de
Miguel Toribio
Trabajo
Alcance Asociados al Negocio

Tareas Previas
Disponibilida fecha
Actividades fecha fin Duración Hora Inicio Hora Fin Responsable
d de Servicio inicio
12/21/201
No 12/22/2018 15 minutos 11:00 p. m. 11:15 p. m. ON
8
12/21/201
No 12/22/2018 15 minutos 11:15 p. m. 11:30 p. m. ON
8
12/21/201
si 12/22/2018 10 minutos 11:20 p. m. 11:30 p. m. CLIENTE
8
Migración Sede Chacarilla
Disponibilida fecha
Actividad fecha fin Duración Hora Inicio Hora Fin Responsable
d de Servicio inicio
12/21/201
Apagar interface vlan 931,936,835,731 No 12/22/2018 30 minutos 11:00 p. m. 11:30 p. m. ON
8
12/21/201
Activar Interfaces Vlan 331,332 fortinet ON Si 12/22/2018 30 minutos 11:30 p. m. 12:00 a. m. ON
8
Cambio de DNS públicos ([Link] y 12/21/201
Si 12/22/2018 10 minutos 12:00 a. m. 12:10 a. m. ON
GCP) 8
12/21/201
Eliminar enrutamiento de las vlan Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
8
Limpiar la tabla ARP para refrescar las 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
MAC 8

115
 12/21/201
Pruebas de navegación de la vlan Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
8
12/21/201
Pruebas de comunicación de entre las vlan Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
8
Validar configuración de NAT en Fortinet 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
ON 8
Punto de Rollback
Pruebas de VPN SSL
Disponibilida fecha
Actividad fecha fin Duración Hora Inicio Hora Fin Responsable
d de Servicio inicio
Validar acceso a la red mediante la VPN 12/21/201
No 12/22/2018 30 minutos 11:00 p. m. 11:30 p. m. ON
SSL 8
Validar conexiones a los servidores 12/21/201
Si 12/22/2018 30 minutos 11:30 p. m. 12:00 a. m. ON
mediante la VPN SSL 8
Validar navegación mediante el agente 12/21/201
Si 12/22/2018 10 minutos 12:00 a. m. 12:10 a. m. ON
FSSO desde la red local 8
Validación de Internet de las sedes que NO 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
estén por ON 8
Pruebas de navegación desde las remotas 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
(no migradas) hacia internet por century 8
Validar con ISEG Conexión hacia 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
ATE,SAN MIGUEL, SJL, NORTE 8
12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
8
PRUEBAS INFRAESTRUCTURA
Disponibilida fecha
Actividad fecha fin Duración Hora Inicio Hora Fin Responsable
d de Servicio inicio
Batería de pruebas de conectividad DC
12/21/201
SURCO 10.100.54.x vs CENTURY No 12/22/2018 30 minutos 11:00 p. m. 11:30 p. m. ON
8
10.200.1/2/
Revision de conectividad entre 12/21/201
Si 12/22/2018 30 minutos 11:30 p. m. 12:00 a. m. ON
servidores(BANNER) 8

116
Validacion de servicios publicados(BRIM- 12/21/201
Si 12/22/2018 10 minutos 12:00 a. m. 12:10 a. m. ON
MOBILE) 8
Batería de pruebas de conectividad 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
CENTURY vs DC SURCO 8
Batería de pruebas de conectividad a 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
publicaciones 8
Pruebas de salida hacia internet con IP 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
publica desde dc century PRD 8
Pruebas de conexión a internet desde redes 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
century 8
Solicitud de conexiones balanceadas a 12/21/201
Si 12/22/2018 30 minutos 12:00 a. m. 12:40 a. m. ON CLIENTE
LUMEN (F5) 8

Pruebas de servicio de Redundancia -

Internet Krumdieck
Disponibilid
Actividad ad de fecha inicio fecha fin Duración Hora Inicio Hora Fin Responsable
Servicio
Configuración de HSRP INTERNET
No 12/21/2018 12/22/2018 30 minuto 11:00 p. m. 11:30 p. m. ON
BACKUP
Desactivar rutas estaticas y activar BGP
No 12/21/2018 12/22/2018 30 minuto 11:30 p. m. 12:00 a. m. ON
hacia blade
Conmutación de enlace principal a backup
Si 12/21/2018 12/22/2018 10 minuto 12:00 a. m. 12:10 a. m. ON
y validación de correcta conmutación.
Haccer la conmutación del enlace backup de
Si 12/21/2018 12/22/2018 10 minuto 12:10 a. m. 12:20 a. m. ON
Santiago de surco L2L
Haccer la conmutación del enlace backup de
Si 12/21/2018 12/22/2018 10 minuto 12:20 a. m. 12:30 a. m. ON
Krumdieck L2L
Miguel Toribio
Pruebas de conectivadad hacia a internet Si 12/21/2018 12/22/2018 10 minuto 12:30 a. m. 1:00 a. m.
|| ON
Pruebas de servicios totales con personal del
si 12/21/2018 12/22/2018 Por definir 1:00 a. m. Por definir Miguel Toribio
cliente

117
 PRUEBAS FUNCIONALES
Disponibilid
Actividad ad de fecha inicio fecha fin Duración Hora Inicio Hora Fin Responsable
Servicio
Validación de flujo academico (PORTAL
Si 12/21/2018 12/22/2018 Por definir 11:00 p. m. 11:30 p. m. Miguel Toribio
CERTUS)
Validación de flujo academico (BANNER) Si 12/21/2018 12/22/2018 10 minuto 11:30 p. m. 12:00 a. m. KVASQUEZ
Validación de flujo academico IEDUCA -
Si 12/21/2018 12/22/2018 Por definir 12:00 a. m. 12:10 a. m.
(SATELITES) KVASQUEZ
IEDUCA -
Si 12/21/2018 12/22/2018 10 minuto 12:10 a. m. 12:20 a. m.
Acceso exactus PRD KVASQUEZ
IEDUCA -
Si 12/21/2018 12/22/2018 Por definir 12:20 a. m. 12:30 a. m.
Validación de flujo comercial LGUIMAREY
IEDUCA -
Si 12/21/2018 12/22/2018 10 minuto 12:30 a. m. 1:00 a. m. PLIZARRAG
Validación de flujo tesoreria A
Validación de flujo tesoreria Si 12/21/2018 12/22/2018 Por definir 11:00 p. m. 11:30 p. m. LLEIVA
Validación de flujo academico (BANNER) Si 12/21/2018 12/22/2018 10 minuto 11:30 p. m. 12:00 a. m. CBONIFACIO
Validación de flujo academico (BANNER) Si 12/21/2018 12/22/2018 Por definir 12:00 a. m. 12:10 a. m. PDIAZ
IEDUCA-
Si 12/21/2018 12/22/2018 10 minuto 12:10 a. m. 12:20 a. m. KOLORTEGU
Validación de flujo contabilidad I
IEDUCA-
Si 12/21/2018 12/22/2018 Por definir 12:20 a. m. 12:30 a. m. JKACHUMA
Validación de moodle PRD (campus digital) NTA
JSANCHEZR-
Si 12/21/2018 12/22/2018 10 minuto 12:30 a. m. 1:00 a. m. ERODRIGUE
Validación de RDP colaboradores PRD ZC
IEDUCA -
Si 12/21/2018 12/22/2018 Por definir 11:00 p. m. 11:30 p. m.
validación de acceso a SAP desde RDP LLEIVA
IEDUCA -
Si 12/21/2018 12/22/2018 10 minuto 11:30 p. m. 12:00 a. m.
validación de acceo a Pegaso desde VPN LLEIVA

118
 IEDUCA -
Si 12/21/2018 12/22/2018 Por definir 12:00 a. m. 12:10 a. m.
Validación de MULESOFT (PRD) LLEIVA
IEDUCA -
Si 12/21/2018 12/22/2018 10 minuto 12:10 a. m. 12:20 a. m.
Validación de conexión BI (PRD) EMEJIA
IEDUCA -
Si 12/21/2018 12/22/2018 Por definir 12:20 a. m. 12:30 a. m.
validación interconexión bancaria BCP LGALLARDO
LLEIVA -
Si 12/21/2018 12/22/2018 10 minuto 12:30 a. m. 1:00 a. m.
Validación de flujo academico (BANNER) MCAJUSOL
LLEIVA -
Si 12/21/2018 12/22/2018 Por definir 11:00 p. m. 11:30 p. m.
Validación de flujo contabilidad MCAJUSOL
LLEIVA -
Si 12/21/2018 12/22/2018 10 minuto 11:30 p. m. 12:00 a. m.
validación interconexión bancaria BBVA MCAJUSOL
validación interconexión bancaria DDEZA -
Si 12/21/2018 12/22/2018 10 minuto 12:00 a. m. 12:10 a. m.
SCOTIABANK DGUARDIA
IEDUCA -
validación de web CERTUS Si 12/21/2018 12/22/2018 10 minuto 12:10 a. m. 12:20 a. m.
MMOSCOSO
validacion CCVOX Si 12/21/2018 12/22/2018 10 minuto 12:20 a. m. 12:30 a. m. CGARCES
IEDUCA -
Validación de acceso SINTAD Si 12/21/2018 12/22/2018 10 minuto 12:30 a. m. 1:00 a. m.
KVASQUEZ

119
Plan de Rollback

Plan de trabajo Plan de Rollback

Proyecto
Breve Descripción Plan de Rollback
Responsable del Plan de
Miguel Toribio
Trabajo
Alcance
Fecha y hora de Inicio 23:00 hrs – 06:00 am

Plan de Actividades
Disponibilidad
Item Actividad Cliente Fecha Duración Estado Responsable
de Servicio
MIGRACION IS - SEDE CENTURY
DESARROLLO
Apagar las interfaces vlan
01 EDUCATIVO No 12/21/2018 0:40 2min. 0% ON - MTORIBIO
931,936,835,731,936
SAC
DESARROLLO
Prender las interface vlan
02 EDUCATIVO No 12/21/2018 0:42 3min. 0% ON - MTORIBIO
931,936,835,731,936
SAC
DESARROLLO
Agregar enrutamiento del
EDUCATIVO 12/21/2018 0:45 5min. ON - MTORIBIO
POOL de IP de VPN SSL
SAC
DESARROLLO IEDUCA -
Cambio de DNS públicos
03 EDUCATIVO SI 12/21/2018 0:40 5 min. 0% MIGUEL
([Link])
SAC TORIBIO
DESARROLLO IEDUCA -
Validaciones de publicaciones
04 EDUCATIVO SI 12/21/2018 1:00 30 min. 0% MIGUEL
por su proveedor actual
SAC TORIBIO

120
 CAMBIO DE VPN SSL (IP PUBLICA ACTUAL)
DESARROLLO IEDUCA -
Validar VPN SSL por
09 EDUCATIVO SI 12/21/2018 0:40 5 min. 100% MIGUEL
Century
SAC TORIBIO
Conectarse por VPN, validar DESARROLLO IEDUCA -
10 comunicación con todas su EDUCATIVO SI 12/21/2018 0:45 min. 100% MIGUEL
VLANs por MPLS de Lv3 SAC TORIBIO
CAMBIO DE VPN SITE TO SITE (POR DEFINIR)
DESARROLLO ON - VICENTE
11 Cambio de IP PUBLICA EDUCATIVO SI 12/21/2018 0:50 5min. 0% PISCO SOC -
SAC MARCO REYES
DESARROLLO ON - VICENTE
12 Cambio de contraseña EDUCATIVO 12/21/2018 0:55 5min. PISCO SOC -
SAC MARCO REYES
DESARROLLO ON - VICENTE
Pruebas de comunicación por
13 EDUCATIVO SI 12/21/2018 1:00 20 min. 0% PISCO SOC -
VPN Site to Site
SAC MARCO REYES

121
PLAN DE EVALUACION

Diagnóstico de red a nivel LAN: Evaluamos cada capa del modelo Jerárquico bajo los siguientes
puntos:
1. Evaluación Física
2. Evaluación Lógica
3. Evaluación de Seguridad

CAPA CORE
- Evaluación Física

Primero identificamos la categoría del cableado y validamos si cumple con los siguientes ítems
del estándar establecidos por TIA:
✓ Distancia límite de conexión punto a punto
✓ Resistencia
✓ Atenuación
✓ Capacitancia

Detalle de Cableado Vertical

Coaxial Fibra STP UTP cat3 UTP cat5 o cat6
Vertical 1 X
Vertical 2 X
Detalle de Cableado Horizontal
Coaxial Fibra STP UTP cat3 UTP cat5 o cat6
Bloque 1 X
Bloque 2 X
Bloque 3 X
Bloque 4 X
Bloque 5 X
Bloque 6 X
Bloque 7 X
Bloque 8 X
Bloque 9 X
Bloque 10 X
Tabla 37. Cableado Estructurado – Sede TLS Javier Prado
Fuente: (Elaboracion propia)

122
Segundo validamos funcionamiento, configuración y errores presentes en las Interfaces físicas.

Figura 36. Configuracion Policy Horarios

Fuente: (Elaboracion Propia)

- Se puede evidenciar que todas las interfaces se encuentran configuradas a velocidades de

más de 1 Gbps.
- Se verifican errores en la Interface Eth1/24 “LinkFlapErrDisabled”
- Se verifica que se tienen puertos físicos que no se encuentran apagados lógicamente.
- Se verifica puertos configurados en Modo Acceso en la CAPA CORE donde no se puede
tener este tipo de puertos.

Tercero Verificamos la cantidad de tráfico que está pasando por la interface conectada hacia la
WAN.

123
 Figura 37. Trafico Interface Eth1/1
Fuente: (Elaboracion Propia)

- Se verifica que se tiene un tráfico de 16.46 Kbps de descarga y 409.30 kbps de subida.

Figura 38. Cantidad de Errores Fisicos – Inteface LAN

Fuente: (Elaboracion Propia)

- No se evidencia errores físicos en las conexiones y conectores (ERRORES CRC), ni

mucho menos dropeo y descarte de paquetes.

Figura 39. Estatus Etherchannel

Fuente: (Elaboracion Propia)

- Se valida el funcionamiento correcto a nivel de EtherChannel, cada conexión se encuentra

disponible.

124
 Figura 40. Cantidad de Paquetes trafico Multicas, Unicaste
Fuente: (Elaboracion Propia)

- Se verifica que las Interfaces de mayor tráfico broadcast y multicast son: Eth1/7, Eth1/8,
Eth1/9, Estas interfaces hacen conexión hacia la capa de Distribución.

Cuarto: Se verifica el estado del procesamiento CPU y Memoria

Figura 41. Historial de consumo CPU Sw core

Fuente: (Elaboracion Propia)

Figura 42. Espacio disponible memoria – sw core

Fuente: (Elaboracion Propia)

125
CAPA DISTRIBUCION

Evaluación Física
Primero: Al igual que en la capa superior CORE, se realiza la validación del cableado según el
estándar TIA.
Segundo: Verificamos el estado de las Interfaces Físicas.

Figura 43. Listado de Interfaces - sw distribucion

Fuente: (Elaboracion Propia)
- Se verifica que todas las interfaces se encuentran configuradas en modo Automático.
- Se verifica puertos que no están apagados a nivel lógico.
- Se verifica conexiones a nivel de puertos de Acceso hacia equipos finales.

Tercero Verificamos la cantidad de tráfico que está pasando por la interface conectada hacia el
CORE.

Figura 44. Trafico Interface troncal hacia sw core

Fuente: (Elaboracion Propia)

126
- Se verifica que se tiene un tráfico de 60 Mbps de input y 10 Mbps de carga.

Figura 45. Estatus Interfaces PorthChannel – sw distribucion

Fuente: (Elaboracion Propia)

- Se valida el funcionamiento correcto a nivel de EtherChannel, la conexión hacia el CORE

se encuentra disponible.

Figura 46. Cantidad de Errores Acumulados

Fuente: (Elaboracion Propia)

- No se evidencia errores físicos en las conexiones y conectores (ERRORES CRC), ni

mucho menos dropeo y descarte de paquetes.

127
 Figura 47. Cantidad de paquetes trafico multicas y broadcast
Fuente: (preparacion propia)

- Se verifica que las Interfaces de mayor tráfico broadcast y multicast son: Gi1/0/1, Esta
interface realiza la conexión hacia el Core.

Cuarto: Se verifica el estado del procesamiento CPU y Memoria

Figura 48. Historial de consumo Cpu – sw distribucion

Fuente: (preparacion propia)

Figura 49. Cantidad de memoria disponible

Fuente: (preparacion propia)

128
CAPA ACCESO
Evaluación Física
Primero: Al igual que en la capa superior DISTRIBUCION, se realiza la validación del cableado
según el estándar TIA.
Segundo: Verificamos el estado de las Interfaces Físicas.

Figura 50. Listado de Interfaces - sw access

Fuente: (Elaboracion Propia)

- Se verifica que todas las interfaces se encuentran configuradas en modo Automático.

- Se verifica que no existen puertos disponibles.

Tercero Verificamos la cantidad de tráfico que está pasando por la interface conectada hacia la
cala de DISTRIBUCION.

Figura 51. Trafico interface troncal sw access

Fuente: (Elaboracion Propia)

- Se verifica que se tiene un tráfico de 77 Kbps de input y 18 Kbps de carga.

129
 Figura 52. Cantidad de errores fisicos – sw access
Fuente: (Elaboracion Propia)

- No se evidencia errores físicos en las conexiones y conectores (ERRORES CRC), ni

mucho menos dropeo y descarte de paquetes.

Figura 53. Cantidad de paquetes de trafico multicast, broadcast

Fuente: (Elaboracion Propia)
- Se verifica que las Interfaces de mayor tráfico broadcast y multicast son: Gi1/0/24, Esta
interface realiza la conexión hacia la capa de DISTRIBUCION.

130
 Figura 54. Configuracion Switches Access modo Stack – Javier Prado
Fuente: (Elaboracion Propia)

Cuarto : Se verifica el estado del procesamiento CPU y Memoria

Figura 55. Historial consumo cpu – sw access

Fuente: (Elaboracion Propia)

Figura 56. Cantidad de memoria disponible – sw access

Fuente: (Elaboracion Propia)

131
CAPA CORE

- Evaluación Lógica
Primero: Verificamos el estado y la cantidad de Segmentos de RED
Segundo: Verificamos la cantidad de VLANS creadas

Figura 57. Cantidad VLANS creadas – sw core

Fuente: (Elaboracion Propia)

Tercero: Verificamos el estado del protocolo Spanning Tree

Figura 58. Configuracion STP – sw core

Fuente: (Elaboracion Propia)

Cuarto: Verificamos la tabla de Enrutamiento y las rutas creadas.

132
 Figura 59. Tabla de enrutamiento – sw core
Fuente: (Elaboracion Propia)

Figura 60. Listado de rutas staticas – sw core

Fuente: (Elaboracion Propia)
Quinto: Validamos el estatus del protocolo HSRP para asegurar el tema de la alta disponibilidad
a nivel de VLANs y hacia la WAN

Figura 61. Configuracion HSRP – Alta disponibilidad SW CORE

Fuente: (Elaboracion Propia)

133
CAPA DISTRIBUCION

Evaluación Lógica
Primero: Verificamos la cantidad de VLANS creadas

Figura 62. Cantidad de Vlans – sw distribucion

Fuente: (Elaboracion Propia)
Segundo: Verificamos el estado del protocolo Spanning Tree

Figura 63. Protocolo STP – sw distribucion

Fuente: (Elaboracion Propia)
CAPA ACCESO
Evaluación Lógica
Primero: Verificamos la cantidad de VLANS creadas

Figura 64. Cantidad de vlans credas – sw access

Fuente: (Elaboracion Propia)

134
Segundo: Verificamos el estado del protocolo Spanning Tree

Figura 65. Protocolo STP – sw access

Fuente: (preparacion propia)
Evaluación de Seguridad
CAPA CORE

Figura 66. Usuarios de conexión sw core

Fuente: (preparacion propia)

CAPA DISTRIBUCION

Figura 67. Usuarios de conexión sw distribucion

Fuente: (preparacion propia)

Figura 68. Listas de Accesos – sw distribucion

Fuente: (preparacion propia)

135
 Figura 69. Conexión virtual telnet ssh
Fuente: (preparacion propia)
CAPA ACCESO

Figura 70. Configuracion Interface sw access

Fuente: (preparacion propia)

Figura 71. Configuracion Lista de Acceso

Fuente: (preparacion propia)

136
 Figura 72. Conexión virtual telnet ssh – sw access
Fuente: (preparacion propia)

Figura 73. Usuarios de conexión sw access

Fuente: (preparacion propia)
Plantilla de datos de configuración

DISPOSITIVOS Detalles

Switch Core L3 Ver ANEXO 12:

Configuración SW L3
Tabla 38. Plantillas de configuracion SW CORE
Fuente: (preparacion propia)

137
Análisis a nivel WAN

IP FLOW TOP TALKERS PARA ANALISAR PUNTOS REMOTOS TIEMPOS DE RESPUESTA Y TRAZA

PRUEBA IP ORIGEN IP Resultado

DESTINO
Traza [Link] [Link]

(SEDE TLS (SEDE TLS

CHACARILLA) JP)

- La cantidad de Saltos son 6

- El tiempo promedio que demora los paquetes en llegar a la sede Javier Prado desde
Chacarilla son:

T <= 2 milisegundos
ICMP [Link] [Link]

(SEDE TLS (SEDE TLS

CHACARILLA) JP)

- Los tiempos de Respuesta tienen un valor promedio de 2 milisegundos

- No se identifican perdida de paquetes en él envió y respuesta
- La comunicación se efectúa sin ningún problema de Intermitencia o Delay
Tabla 39. Analisis WAN ICMP
Fuente: (preparacion propia)

138
PRUEBA IP ORIGEN IP Resultado
DESTINO
Traza [Link] [Link]

(SEDE TLS (dns

CHACARILLA) google)

- La cantidad de Saltos son 10

- El tiempo promedio que demora los paquetes en salir de la sede y llegar hacia los dns de google
en USA.

T <= 36,3 milisegundos

ICMP [Link] [Link]

(SEDE TLS (dns

CHACARILLA) google)

- Los tiempos de Respuesta tienen un valor promedio de 36,3 milisegundos

- No se identifican perdida de paquetes en él envió y respuesta
- La comunicación se efectúa sin ningún problema de Intermitencia o Delay
Tabla 40. Analisis WAN Internet
Fuente: (preparacion propia)

139
Finalmente se realizó la validación del tráfico de cada servicio de internet y conexión hacia las
sedes a través de las herramientas de monitoreo proporcionados por el proveedor.

Figura 74. Trafico consumo Internet – TLS router principal

Fuente: (preparacion propia)

Figura 75. Consumo de CPU router principal tls

Fuente: (preparacion propia)

Figura 76. Consumo de memoria router principal tls

Fuente: (preparacion propia)

140
Figura 77. Trafico consumo Internet – CERTUS router principal
Fuente: (preparacion propia)

Figura 78. Consumo de CPU router principal certus

Fuente: (preparacion propia)

Figura 79. Consumo de memoria router principal certus

Fuente: (preparacion propia)

141
Figura 80. Herramienta de Monitoreo Switches Core Certus - Cacti
Fuente: (preparacion propia)

Figura 81. Trafico consumo de red Router Sede surco - certus

Fuente: (preparacion propia)

142
3.3 EVALUACION

3.3.1 EVALUACION ECONOMICA

En este punto se analizan 2 casos en los cuales se obtuvieron ahorros sustanciales en la parte
económica.

Primero La ejecución del proyecto significo ahorros en el aspecto económico debido a que el pago
mensual por los servicios de Internet y MPLS se hacían a 3 proveedores ISP diferentes, con el
cambio se unifico a un solo proveedor el cual nos brindó mayores beneficios tecnológicos y ahorros
económicos.

A continuación, se detallan los pagos mensuales por el servicio de Internet, Datos y seguridad que
realizaron las 3 unidades de negocio antes de ejecutar el cambio durante el año 2018.

OPEX
AÑO MESES (S/.) sin IGV
CERTUS TLS UCAL
Enero S/.67,650 S/.26,712 S/.11,269
Febrero S/.67,650 S/.26,712 S/.11,269
Marzo S/.67,650 S/.26,712 S/.11,269
Abril S/.67,650 S/.26,712 S/.11,269
2 Mayo S/.67,650 S/.26,712 S/.11,269
0 Junio S/.67,650 S/.26,712 S/.11,269
1 Julio S/.67,650 S/.26,712 S/.11,269
8 Agosto S/.67,650 S/.26,712 S/.11,269
Septiembre S/.67,650 S/.26,712 S/.11,269
Octubre S/.67,650 S/.26,712 S/.11,269
Noviembre S/.67,650 S/.26,712 S/.11,269
Diciembre S/.67,650 S/.26,712 S/.11,269
TOTAL S/.811,800 S/.320,544 S/.135,228
Tabla 41. Gastos mensuales servicio de internet 2018
Fuente: (preparacion propia)

El pago anual que se hacía durante 1 año por las 3 razones sociales hacia un monto total de S/.
1,267.572.

Segundo, el no poder compartir de recursos debido a que la arquitectura WAN de cada UNE no
lo permite, incurría en un gasto al momento de querer dar soporte al área de call center
específicamente con el uso de las licencias de sofphone para realizar sus operaciones.

143
A continuación, se detallan los costos por cada licencia y se muestra la comparación actual en la
que estos gastos ya no son asumidos por el negocio gracias a la nueva arquitectura de Red WAN
que permite hacer uso de estos sistemas.

Tipo de Costo Costo

Servicio CCVOX Cantidad
Mensual Único Unitario S/.
Licencias Basica 1 S/. - S/. 2475 S/. 2475
Soporte 1 S/. 200 S/. - S/. 200
Instalación 1 S/. - S/. - S/. -
Total S/. 2675

Tabla 42. Lista de costos por licencia CCVOX

Fuente: (preparacion propia)

Tipo de Costo Costo

Servicio GENESYS Cantidad
Mensual Único Unitario S/.
Licencias Basica 1 S/. - S/. 3225 S/. 3225
Soporte 1 S/. 800 S/. - S/. 800
Instalación 1 S/. - S/. - S/. -
Total S/. 4025

Tabla 43. Lista de costos por licencia Genesys

Fuente: (preparacion propia)

En la tabla 43 se muestra el costo que involucra comprar una licencia para call center haciendo uso
del sistema CCVOX, este servicio es usado por Certus para sus campañas de ventas y cobranza.
En la tabla y se detalla el costo que involucra comprar una licencia para call center haciendo uso
del sistema Genesys, este servicio es usado por TLS y UCAL para sus campañas de marketing y
cobranza.

Ahora, si el equipo de ventas de cada UNE quisiera adicionar personal por temas de campañas, etc,
no tendría otra opción que comprar la licencia del sistema que usa y si quiera hacer uso del otro
sistema de call center, no sería posible puesto que ambos se encuentran en REDES WAN separas
sin ningún medio de comunicación.

144
Una vez terminado de exponer los casos en los cuales se evidencia los gastos incurridos ya sea por
operación propia del negocio o por la implementación de nuevos servicios y proyectos.
Ahora se muestran los beneficios generados con la implementación de la RED.

BENEFICIOS TANGIBLES
1. Ahorros de costos Servicio de Internet
A continuación, se detallan los costos actuales por el pago recurrente del servicio de Internet, Datos
y seguridad perimetral que actualmente se paga por las 3 unidades de negocio.

OPEX
AÑO MESES (S/.) sin IGV
CERTUS TLS UCAL
Enero - - -
Febrero - - -
Marzo - - -
Abril - - -
2 Mayo S/.32,650 S/.21,310 S/.6,090
0 Junio S/.32,650 S/.21,310 S/.6,090
1 Julio S/.32,650 S/.21,310 S/.6,090
9 Agosto S/.32,650 S/.21,310 S/.6,090
Septiembre S/.32,650 S/.21,310 S/.6,090
Octubre S/.32,650 S/.21,310 S/.6,090
Noviembre S/.32,650 S/.21,310 S/.6,090
Diciembre S/.32,650 S/.21,310 S/.6,090
TOTAL S/.261,200 S/.170,400 S/.24,360
Tabla 44. Gastos mensuales servicio de internet 2019
Fuente: (Elaboracion propia)

El monto total pagado durante el primer año de contrato con el nuevo operador fue por un total de
S/. 455,960 soles, parte de la negociación fue solicitar un periodo de marcha blanca por los 4
primeros meses del servicio.

Finalmente, en comparación al monto pagado en el año 2018 y el monto pagado posterior al cambio
(2019) de operador e implementación del proyecto fue de S/. 811,612 soles ahorrados.

145
 2. Ahorros de costos Operaciones

A nivel de los servicios que se brindan a las distintas áreas del negocio se encuentra una que es
muy importante y critica, se trata del área de Marketing que principalmente hace uso de sistemas
para hacer llamadas y captar nuevos prospectos, estos hacen uso de sistemas de call center para su
operación del día a día. Bajo la nueva arquitectura el área de Marketing tiene la facilidad de usar
CCVOX puesto que el sistema se encuentra disponible gracias a la implementación del proyecto,
ya no es necesario comprar una licencia de GENESYS que es la más cara en comparación a
CCVOX.
Con esto el negocio ahorra gastos operativos cuando el área de marketing desea agregar personal
nuevo para sus campañas.

a. Gastos incurridos sin la implementación

El negocio tendría que comprar cada licencia de GENESYS a S/. 3225 soles
b. Gastos incurridos con la implementación
El negocio tendría que comprar cada licencia de CCVOX a S/. 2475 soles o en el caso las
licencias de CCVOX se encuentren disponibles al tener mayor cantidad, el gasto seria
S/. 0 Soles.

3. Tiempos de Servicio SLA

La implementación de la nueva RED trajo consigo mejorar los tiempos de atención tanto para
requerimientos como incidentes así mismo se definió un nivel de servicio lo más cercano posible
al 100% debido a que se brindan enlaces redundantes en modo Activo – Activo.

El SLA brindado por el proveedor anterior era de 99.5% en Lima y Provincias, mientras que con
el proveedor actual se pudo mejorar este valor a 99.8% en Lima y Provincias.

146
BENEFICIOS INTANGIBLES
En esta sección de listan todos los beneficios intangibles que se generaron.

✓ Acceso Total a la red de las 3 unidades de negocio a través de una sola conexión VPN SSL
✓ Mejora de los tiempos de atención y soporte a las unidades de negocio.
✓ Facilidad para compartir recursos (File Server, FTP, Carpetas compartidas, Drives) entre
usuarios administradores de las 3 unidades de negocio.
✓ Visibilidad de todas las cámaras de seguridad de todas las sedes de cada unidad de negocio
desde un solo punto de control.
✓ Mejora en la calidad de llamada y audio de los servicios de telefonía
✓ Mejora en la administración de equipamiento Networking y Seguridad Firewall
Centralizado
✓ Aumento de capacidad de anchos de banda y su distribución a demanda para cada sede en
épocas de campañas de ventas, temporadas de matrícula y cierre de año contable.
✓ Mejora en la calidad de servicio de colaboración de Video llamadas.

147
CAPITULO IV – REFLEXION CRITICA DE LA EXPERIENCIA

Durante todas las etapas del proyecto parte de mi contribución fue ejercer el rol de Administrador
de RED y Líder Técnico, junto con el equipo de Infraestructura y el equipo de proyectos. También
se trabajó muy de cerca con los Product Owner de cada unidad de negocio y la Gerencia de TI.

La implementación de este proyecto consolida todo el conocimiento obtenido durante los primeros
años de ejercicio laboral, sumado a certificaciones y conocimiento es que se pudo concretar mi
aporte de manera exitosa a la ejecución del proyecto.

Los principales aportes del autor del trabajo fueron elaboración del RFP, Análisis, diseño de la
arquitectura, ejecución de instalación y configuración de equipamiento networking, seguridad y
finalmente la validación y aceptación del proyecto.

El éxito del proyecto también está sujeto al uso de buenas prácticas y metodologías aprendidas que
fueron de gran ayuda en todo momento.

Los retos más complicados fueron hacer la migración de servicios heredados en los que se tuvo
que hacer un troubleshooting con ayuda de debugs, logs, sniffer a nivel de capas superiores e
inferiores del modelo OSI en los que nos llevó un tiempo dar con la solución, pero finalmente se
superó el inconveniente, además de esto el tiempo estaba en contra debido que al ser un pase a
producción no tenemos mucho margen de error y recurrir al rollback no era una opción.

Finalmente, la ejecución del proyecto se llevó a cabo de manera transparente para el usuario final,
posterior al pase a producción se afinar temas de seguridad puntuales y temas de performance de
la red.

148
CAPITULO V – CONCLUSIONES Y RECOMENDACIONES

5.1 CONCLUCIONES

La Infraestructura de RED es importante para el soporte y desarrollo del negocio puesto que sobre
esta se soportan todas las soluciones que se brindan a los usuarios finales, es de vital importancia
mantener de manera constante la actualización de la misma aplicando mejoras en los aspectos de
Seguridad, Resiliencia, Crecimiento.
La coyuntura actual de pandemia que estamos viviendo nos hizo acelerar cambios a nivel de
infraestructura para poder soportar el trabajo de manera remota, sin una arquitectura de RED
resiliente a estos cambios no sería posible brindar el teletrabajo.
Esta nueva normalidad nos obliga a reforzar nuestra infraestructura en 2 aspectos importantes
disponibilidad y seguridad.

5.2 RECOMENCACIONES

1. Existen sedes de Certus que cuentan con equipamiento fuera de soporte y fuera de venta
por parte del proveedor, es por esto que se recomienda migrar estos equipos a un entorno
cloud a través de la solución de meraki.
2. Realizar mantenimientos semestrales a los equipos de borde
3. Mantener actualizadas las firmas de seguridad del equipo perimetral ante cualquier ataque
nuevo de día Zero.
4. Instalar endpoint sugerido por la marca para tener un control y visibilidad integral de toda
la RED.
5. Acotar los servicios publicados por puertos lógicos y no tener expuestos todos los puertos
tcp/udp
6. No publicar servicios de RDP de WINDOS puestos que se exponen a ataques cibernéticos
de fuerza bruta, esto se debe aplicar usando una conexión de vpn ssl.
7. Apagar todos los puertos de RED LAN para evitar ataques internos hacia los servidores.

149
FUENTES DE INFORMACIÓN

- RFC 3758. Virtual Router Redundancy Protocol (VRRP)

- [Link]
[Link]
- Cisco Design Zone. [Link]/en/US/netsol/ns742/
networking_solutions_program_category_home.html.

- Design Zone for Borderless Networks. [Link]/en/US/netsol/ns1063/

networking_solutions_program_home.html.

- Cisco Data Center. [Link]/en/US/netsol/ns340/ns394/ns224/[Link].

- ISO/IEC 7498-1: 1994. “Information Processing Systems - OSI Reference Model - The
Basic
Model.”

- Module 3 (Designing Basic Campus and Data Center Networks)—Designing for Cisco
Internetwork
Solution Course (DESGN) 2.1.

150
GLOSARIO

- Full Mesh
- Web filtering
- Control de aplicaciones
- FAZ
- Transceiver
- Cos1, Cos2, Cos3
- Trello
- Top And Down
- DMZ
- CCVOX
- GENESYS
- Firewall
- HSPR
- VRRP
- Enrutamiento
- Mpls
- Publisher
- Subscriber
- DVR/NVR
- troubleshooting

151
ANEXOS

Anexo 1: DATASHEET FORTGATE 60F.

152
153
Anexo 2: DATASHEET FORTGATE 200E.

154
155
Anexo 3: DATASHEET FORTGATE 500E.

156
157
Anexo 4: DATASHEET CISCO ISR 1100 4P.

158
Anexo 5: DATASHEET CISCO ASR 920.

159
Anexo 6: DATASHEET CISCO NEXUS 9K

160
Anexo 7: DATASHEET FORTIGATE 5001E - VDOM

161
Anexo 8: DATASHEET FORTIGATE 500E

162
Anexo 9: DATASHEET FORTIGATE 200E/201E

163
Anexo 10: DATASHEET FORTIGATE 800F

164
Anexo 11: DATASHEET TRANSCEIVER

165
Anexo 12: SH RUN - SW CORE

166