Redes y enlaces WAN

Networking / By

Enlaces WAN tradicionales

Cuando un cliente se conecta a la red de un proveedor es común que el servidor de servicio aprovisione un enlace o circuito a cada uno de los sitios del cliente, para los dispositivos en los sitios remotos del cliente (CE) pareciera ser una conexión directa entre ellos, y las redes remotas parecen estar conectadas directamente, la infraestructura de red interna del proveedor de servicio está oculta para el cliente.

Las soluciones WAN se han implementado por muchos años para conectar sitios corporativos remotos a los recursos de red en otros sitios remotos, una implementación común es tener una oficina central a la cual se conectan los sitios remotos para tener acceso a servidores en la oficina central, normalmente se implementan enlaces dedicados para este tipo de ambiente, donde un ISP provee un enlace WAN a las instalaciones del cliente y el tráfico a través de ese enlace es transmitido por un ambiente VPN a los sitios remotos.

Un servicio típico de WAN se ejecuta sobre una VPN de MPLS que es transparente para el cliente, desde la perspectiva del cliente los sitios remotos están a un salto de red de distancia, o en el caso de una VPN MPLS de capa 2 los sitios remotos parecen estar directamente conectados.

Se necesita de dos componentes para proveer ese tipo de servicios: la primera es una red subyacente que es la infraestructura sobre la que los túneles VPN son creados, la segunda es la red superpuesta que es una red de túneles virtuales programables que se ejecutan de un extremo a otro para conectar los dispositivos.

Los túneles VPN son enlaces lógicos que para los dispositivos remotos parecen estar conectados directamente, se crean agregando información extra a los encabezados de los paquetes de datos que identifican el equipo límite remoto del proveedor o PE como el destino del tráfico dentro de la red subyacente, cuando el PE remoto recibe el tráfico el encabezado externo es des encapsulado revelando el encapsulado original y el destino final del tráfico.

Algunos mecanismos sencillos de encapsulamiento como mapeo de clientes por etiquetas MPLS o mapeo de clientes por túneles MPLS pueden ser utilizados para colocar el tráfico en la tabal de ruteo correcta en el PE de salida, desde la perspectiva del cliente el proveedor de servicio proporciona un enlace, gestiona y controla la red de túneles y se encarga de cumplir los SLA a través de su dominio de red, para el cliente la red del proveedor es normalmente transparente e irrelevante mientras los datos sean transmitidos de un extremo a otro cumpliendo con los parámetros contratados.

Redes MPLS

El diagrama muestra un ejemplo sencillo de una red superpuesta entre dispositivos PE (Provider Edge) los PE son propiedad del ISP y administrados por el ISP, BGP es el protocolo más utilizado en redes ISP, con una red superpuesta o subyacente cada extremo de un túnel está asociado con una única tabla de ruteo en el PE que solo contiene información de conmutación y ruteo relacionada al cliente específico, el destino del tráfico dentro del mismo dominio de red es marcado en el PE de entrada para que el PE de salida puede identificar a que cliente o que VRF va dirigido el tráfico.

Por ejemplo, el tráfico desde el cliente 1 en la rama A (customer 1 branch A) se recibe en el PE del ISP, el PE encapsula el tráfico con una etiqueta MPLS en el encabezado que es única para el cliente 1 (ID de sitio), una vez que el sitio destino es determinado el PE realiza una búsqueda de rutas para identificar un túnel que conecte directamente con el PE remoto el tráfico es encapsulado con el encabezado de red superpuesta o encabezado de transporte, en este caso con un paquete con encabezado MPLS y con una etiqueta de transporte y es transportado a través del dominio del ISP, cuando el tráfico llega al PE remoto el encabezado de transporte externo es removido y el encabezado interno del cliente es examinado, y contiene información que identifica a que VRF pertenece, el encabezado del cliente es removido exponiendo el encabezado original el PE transmite el tráfico hacia el enlace relacionado al cliente 1 en la rama B (customer 1 branch B).

En el caso de múltiples sitios para el cliente, el mismo encabezado de transporte puede ser utilizado para enrutar el trafico entre múltiples PE, el encabezado de cliente o encabezado de ID de sitio es único, así que cuando un PE evalúa el encabezado de cliente puede determinar a que sitio debe ser transmitido.

Multiusuario generalmente se refiere a la separación de datos para diferentes clientes, sin embargo, multiusuario también puede significar la separación de la información de plano de control, plano de datos así como el plano de gestión de la operación, un ambiente multiusuario puede habilitar gestión multiusuario, acceso de clientes a la plataforma de gestión manteniendo separados los diferentes ambientes, para que las acciones de un cliente no afecten la operación de otros.

Acceso a Internet

Un enlace WAN tradicional de red ISP representa para los clientes una conexión privada de un punto a otro, lo que significa que no hay acceso a la red pública desde ese servicio, pero hay múltiples opciones para proporcionar acceso a redes externas a través de un ISP.

Un método es proporcionar un acceso público a Internet  en un sitio central, a esto se le llama “Central Breakout” con este método todo el tráfico de los sitios remotos es enrutado al sitio central dónde se aplican servicios de seguridad a tráfico para proteger su integridad contra amenazas externas, un segundo método para proveer acceso a Internet es implementar un circuito de Internet directamente en el sitio remoto y dirigir el tráfico que no es de uso interno hacia la red pública, a esto se le llama “Local Breakout” con  esta implementación los servicios de seguridad deben ser aplicados en cada punto de acceso a la red pública.

En ambos casos los enlaces de acceso a Internet pueden ser proporcionados por el mismo ISP que provee las conexiones WAN entre sitios o uno diferente, una conexión de acceso a Internet es normalmente más barato que un enlace dedicado.

Consideraciones de seguridad

En cualquier momento que se provea acceso a Internet, se deben tener precauciones para evitar una violación de seguridad de los datos de la empresa, con un acceso centralizado, el tráfico externo normalmente atraviesa un dominio seguro que trata de reducir la pérdida o exposición de información, violaciones de seguridad, infiltraciones, infección de virus, y otras amenazas de seguridad, con un acceso distribuido a Internet, estas amenazas se expanden a cada punto de acceso, las mismas funciones y políticas se deben implementar en cada punto.

Internet cómo enlace WAN

Si es posible tener un acceso a internet en cada sitio que sea más económico ¿Se puede utilizar esos enlaces para transmitir datos entres sitios? La respuesta por supuesto es si, sin embargo, hay algunas desventajas para este diseño:

  • Servicios de seguridad deben ser establecidos en cada uno de los puntos de acceso a Internet.
  • Se deben instalar dispositivos capaces de proveer túneles seguros entre sitio.
  • Se genera la necesidad de crear una red de túneles superpuestos responsabilidad del cliente en lugar del ISP.

Por la naturaleza de internet no hay capacidad de garantizar SLA sobre enlaces de Internet, es decir, no se tiene garantía de que la latencia, ancho de banda y Jitter cumplan ciertos parámetros.

Hay ciertos casos de aplicación para usar Internet de esta manera, una práctica común es utilizar enlaces dedicados como enlaces primarios y los SLA garantizados por ellos para la comunicación sitio a sitio y utilizar el acceso a Internet cómo un enlace de respaldo para eventos de fallas con los enlaces principales.

Internet cómo enlace de respaldo

Utilizar una conexión pública como respaldo para emergencias es más efectivo respecto a costos que provisionar otro servicio dedicado para fines de respaldo, de igual manera es requerido para enlaces de respaldo a través de Internet proporcionar los túneles necesarios para el trasporte privado y seguro de los datos a través de Internet.

Cuando una empresa decide utilizar el acceso a Internet cómo un enlace de respaldo toma la responsabilidad de crear y administrar su propia red superpuesta y con ello muchas de las funciones que el SIP gestiona en los enlaces dedicados.

El CE (Customer Edge) en el punto de entrada y salida principal del sitio remoto a través del enlace WAN, este normalmente es propiedad del ISP. Para enlaces WAN dedicados los sitios remotos son parte de la organización por lo que no es necesario instalar un dispositivo de seguridad dedicado, sin embargo, el acceso a la red pública requiere servicios adicionales de seguridad como Stateful Firewall, IPS/IDP, Anti-virus, filtrado web, monitoreo, SLA, gráficas de consumo de tráfico, tec.

Además, si se implementa una red inalámbrica para invitados, lo que es muy común, la habilidad de gestionar y monitorear el tráfico de la red inalámbrica es de crítica importancia para la seguridad de toda la empresa, si un sitio remoto está comprometido toda la red hasta el punto central está comprometida también, todos estos servicios extras pueden representan un costo extra muy grande para los recursos asignados a IT en la impresa.

WAN Definidas por Software

Cuando una organización implementa una solución SD-WAN extienden las funciones del proveedor de servicio a sus dispositivos y se crean túneles propios entre sitios, los túneles de los clientes pueden transmitir tráfico sobre los túneles de los ISP (con túneles dentro de túneles) o a través de enlaces públicos sobre Internet.

El objetivo de WAN definidas por software o SD-WAN es automatizar el control y las complejidades que hay con una implementación WAN y usa servicios de software para ejecutar tareas redundantes y complejas, en lugar de configurar manualmente túneles punto a punto en diseños full-mesh o hub-to-spoke y todos los protocolos de enrutamiento, políticas de seguridad, políticas de monitoreo, gestión de SLA y funciones de registro entre sitios.

Se utiliza software para centralizar y estandarizar estas funciones en todo el dominio de red, el objetivo es crear una red única común, segura y encriptada, que puede utilizar enlaces WAN privados, públicos, LTE, etc. O cualquier combinación de circuitos disponibles de una manera inteligente y eficiente, además un ambiente SD-WAN correctamente implementado debería capaz de traducir sesiones de datos entre enlaces cuándo y cómo sea necesario sin interrumpir los servicios.

Cuando una organización toma en rol de gestionar una solución SD-WAN, los requerimientos de IT en la organización incrementan, la nueva función de la organización es configurar y gestionar una nueva overlay sobre la overlay y underlay del ISP para extender una red lógica hacia los sitios remotos, esto esencialmente extiende los dispositivos PE (Provider Edge) de la nube provista por el ISP a los dispositivos corporativos o CE (Customer Edge).

Desde la perspectiva de la nueva red overlay cualquier circuito que se conecte a CE del sitio remoto en una red underlay sin importar si la nueva underlay consiste en Internet, MPLS, una línea dedicada, etc. Una overlay se puede ejecutar sobre otra overlay de manera transparente y considera la red inferior cómo una capa de transporte underlay.

Para proveer conectividad entre sitios se utilizar multiprotocolo BGP o MPBGP, MPGBP permite que información extra además de la información de ruteo estándar sea transmitida en actualizaciones BGP utilizando propiedades extendidas de información de ruteo que pueden ser asociadas con sitios individuales.

Los beneficios de implementar una solución SD-WAN gestionada por el cliente incluye:

  • Mayor control por parte del cliente sobre tráfico que atraviesa entre sitios.
  • Mayor flexibilidad sobre que enlaces son utilizados para diferentes tipos de tráfico.
  • Mayor visibilidad del desempeño de la red.
  • La habilidad de tomar medidas ante cambios en el desempeño de los enlaces WAN individuales.

Referencias

  • Este contenido ha sido realizado sin fines de lucro, y con el objetivo de promover y facilitar el acceso al conocimiento sobre nuevas tecnologías.
  • Todo el contenido de este artículo está basado en material y contenido gratuito de la Academia de Versa.
  • No soy autor de las imágenes presentadas en este artículo, han sido tomadas del material y contenido gratuito de la Academia de Versa.
  • Click aquí para visitar la Academia de Versa.

Gracias por leer éste artículo, espero que te haya servido, recuerda que puedes dejar tus comentarios, evaluación y compartirlo.

Facebook
LinkedIn
LinkedIn
Share
WhatsApp

Publicaciones relacionadas

0 0 votes
Ten 5 estrellas!!
Subscribe
Notify of
guest
1 Comentario
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
Carlos
Carlos
2 years ago

Me parece excelente

0
Reply