Hablamos con Iban Madariaga, Responsable de Comunicaciones de Semantic Systems, sobre SD-WAN
Parece que el mundo de las comunicaciones WAN ha cambiado drásticamente en los últimos dos o tres años, ¿a qué se debe?
Bien, entendamos primero qué es una red WAN. Es la estructura de comunicaciones que desplegamos para conectar las diferentes sedes geográficas de nuestra empresa, entre sí, y con los recursos que utilizan nuestros empleados para trabajar.
Históricamente ha existido un modelo muy claro que nos ayudaba a entender cómo tenía que ser esta red WAN: los empleados estaban ubicados en centros de trabajo, geográficamente no muy dispersos, y utilizaban equipos corporativos bajo control de la empresa; los datos, las aplicaciones, los servicios, en definitiva, la inteligencia, estaba centralizada en uno o dos puntos, que, además, era el punto por el que toda la empresa se conectaba con el resto del mundo, con Internet.
En esas condiciones, un diseño de red tenía que cumplir unos parámetros muy claros: comunicar eficientemente las delegaciones con el o los puntos centrales (el CPD) a través de una red privada aislada del mundo. Y el punto crítico lo teníamos centralizado en la conexión del CPD a Internet, y ahí poníamos a todo nuestro ejército de defensas, ya que estaba claro cuál era la frontera que separaba a los buenos de los malos.
Pero cinco cosas han cambiado en los últimos años
- Para empezar, fruto de la globalización, muchas empresas han trasladado sus centros de producción, no ya al extranjero, sino a la otra punta del planeta: Asia, Sudamérica, Norteamérica… Ya no resulta tan fácil, por no decir económicamente imposible, extender nuestra red WAN “clásica” tan lejos.
- Por otra parte, y éste ha sido un cambio radical, la tan famosa nube. ¿Dónde están ahora nuestras aplicaciones, dónde están nuestros datos? No tenemos ni idea, están por ahí, flotando en algún sitio de Internet. Cómo los protejo si no sé dónde están, si andan repartidos por Internet, por todo el planeta, totalmente fuera de nuestro control.
- Tercero: desde la pandemia, aunque ya estaba empezando a ser tendencia, el teletrabajo. Ahora nuestros empleados ya no están en la oficina, están en sus casas, en una terraza, en la playa, y siguen trabajando. Tienen que poder acceder a nuestra infraestructura, y tienen que hacerlo de manera segura.
- Y no sólo eso, sino que ya no usan necesariamente un ordenador de sobremesa corporativo. Se conectan desde una Tablet que comparten con sus hijos, o usan un portátil que luego utilizan para uso personal, o desde el móvil… Es decir, también hemos perdido también el control del dispositivo.
- Y, por último, y como suma de todo esto: ha desaparecido lo que se conoce como el “perímetro”, lo que separa “dentro” de “fuera”. Tenemos los accesos a internet descentralizados, mis aplicaciones están fuera, mi gente está fuera, mis equipos son de fuera… ¿Cómo hago para proteger esto, ¿Dónde pongo las defensas?
Así que con estos cinco cambios tan… radicales uno mira su diseño de red WANy piensa: “esto ya no me vale”.
¿Y cómo encaja el concepto de SD-WAN en esta revolución?
Antes de responder debería empezar diciendo que las propuestas, o el concepto de SD-WAN ha ido cambiando a gran velocidad desde el mimo momento de su aparición, adaptándose de manera muy rápida a las necesidades que han ido apareciendo.
Con lo que una red SD-WAN de hoy tiene enormes diferencias de lo que habría podido encontrar hace unos cinco años, cuando se empezó a tomar en serio esta arquitectura. Para entenderlo tenemos que dar un pasito más hacia atrás y entender qué había antes de la SD-WAN.
Anteriormente sólo se contemplaban dos posibilidades, o bien la red WAN estaba formada por accesos MPLS, líneas privadas de muy alta calidad, pero a un precio prohibitivo, o bien uno se tenía que buscar la vida montando túneles encriptados, punto a punto, a través de Internet, una solución más económica, pero de una calidad cuestionable. Y, en no pocos casos, se tenían que combinar ambas opciones, restringiendo el alcance de la MPLS a las sedes nacionales y conectando las internacionales por medio de túneles.
Cuando nacieron las primeras SD-WAN su vocación era, por una parte, dar comunicaciones privadas de calidad similar (o incluso superior) a las redes MPLS a un precio competitivo y, por otro, extender su alcance a todo el planeta, homogeneizando así la red del cliente, que antes tenía sedes con comunicaciones de dos calidades muy diferentes.
Pero se vio que esto no era suficiente, el planeta ya no cubría todo el contenido de la empresa, había que integrar el “cloud” dentro de su red, así que se diseñaron soluciones que integraban las diferentes nubes públicas y privadas dentro de la red WAN, como una sede más.
Pero claro, seguía existiendo un problema por resolver, el tema de la seguridad, así que las soluciones SD-WAN evolucionaron a su versión 2.0, las “Secure SD-WAN”, donde se garantizaba la protección del nuevo perímetro de la red, que ahora resulta ser mucho más… difuso.
Y esto tenía que incluir el tratamiento, no ya del dispositivo, del PC, sino del usuario que accediera a la red, estuviera donde estuviese, dándole conectividad eficiente, y protegiéndole tanto a él como a la red a la que se conecta.
Esto es lo que hace una red SD-WAN.
¿Puedes explicar en cinco conceptos cómo funciona una red SD-WAN?
A ver si soy capaz.
El primer concepto, el más distintivo, es el de la pura conectividad. Para montar una red SD-WAN necesitamos líneas de comunicaciones, evidente. Pero éstas pueden ser de cualquier tipo, accesos a Internet de banda ancha, accesos MPLS, líneas punto a punto… Lo que tengamos.
Estas líneas van a formar lo que se llama el “Underlay”, el substrato de la red. Sobre estas líneas se van a construir y destruir túneles encriptados entre las sedes, de manera dinámica y sin intervención del administrador, es decir, cuando se detecte tráfico que ha de ir de A a B, automáticamente aparecerá un túnel encriptado entre ambos extremos, se mandará el tráfico de manera segura, y posteriormente ese túnel se volatilizará. A esta colección de túneles se le llama “Overlay”
Segundo concepto: esta colección de túneles, por lo general, están redundados: es decir, existen varios caminos posibles para ir de un punto a otro de la red. Y la propia red es capaz de hacer autodiagnóstico del estado de las líneas y de por dónde puede ser más adecuado mandar el tráfico en cada momento, de forma que se adapta ante fallos y reacciona para evitarlos.
La tercera característica es que estas decisiones de encaminamiento de tráfico las toma teniendo en cuenta de qué aplicaciones está cursando, de manera que las decisiones no se toman para todo el tráfico en bloque, sino que hay una alta granularidad y para cada tipo de tráfico se busca el mejor camino siguiendo parámetros específicos de esa aplicación en concreto.
Cuarta: ésta es una red compleja, y configurarle a la antigua, equipo a equipo, es inviable. Así que hay una pieza central, llamada Orquestador, desde el que se opera toda la red: se despliega, se configura, se monitoriza y se gestiona. Aunque mi red sea muy extensa y cuente con miles de equipos, sólo tengo un punto de trabajo, el Orquestador, y desde él puedo controlarlo todo.
Y casi tan importante como el control centralizado es la visualización. Otra de las características que forman parte de la médula espinal de una red SD-WAN: que me permite ver, en tiempo real, qué problemas se están produciendo en la red, qué efectos tiene y cómo se han de remediar. Cosa que con una red MPLS, bajo control de un proveedor de servicios, no teníamos.
Me queda una, y dudo entre cuál destacar. Por una parte, ya hemos hablado de la seguridad, a día de hoy no se concibe una red SD-WAN que no resuelva este problema. Ha de ser capaz de garantizar que no tiene brechas de seguridad, que está protegida en todos los frentes: en su contacto con internet, en la nube, en la propia infraestructura y en los usuarios que ahora pueden estar en cualquier parte del mundo.
Sin embargo, hay otra característica que nació con la propia definición de estas redes, pero que al principio no era más que una promesa o una idea a medio desarrollar pero que a día de hoy ya es creíble. Que es el Zero Touch Deployment. Tengamos en cuenta que ahora nuestras sedes pueden estar, una en Malasia, otra en Canadá y otra en Nueva Zelanda. ¿Cómo vamos a hacer para instalar, configurar y poner en marcha los equipos en esas sedes, ¿vamos a mandar un técnico especializado a que se dé la vuelta al mundo? No es posible.
El Zero Touch Deployment significa: “te va a llegar un equipo nuevo, de fábrica”, sácalo, pínchalo y no hace falta que hagas nada más: el propio sistema lo configurará y lo pondrá en marcha sin que sea necesaria la intervención humana local.
¡Descubre todas las claves de la tecnología SD-WAN!
|
¿Por qué tanto revuelo con SD-WAN, cuando las comunicaciones con la nube se pueden conseguir también con las redes tradicionales?
Para empezar, debería decir que sí, que es cierto que una red WAN clásica, bien sea MPLS o bien basada en túneles IPsec estáticos puede, con cierto esfuerzo y de manera no muy natural, integrar una nube pública dentro de la red. Pero más que una integración, es una comunicación que no deja de ser un parche.
Con las soluciones SD-WAN actuales la nube ya no es una entidad etérea que anda por ahí danzando, se convierte en una sede más, con iguales características que una de nuestras sedes físicas.
Pero eso no es todo. Las soluciones SD-WAN nos aportan algo que igual pasa desapercibido a primera vista, pero de mucha valía: nos hace independientes del operador. Esto significa que nuestra solución, nuestros equipos, nuestro tráfico; en definitiva, nuestra red está en el overlay, en la capa superior. Lo que hay por debajo, en el underlay, no es determinante: hoy podemos tener un acceso FTTH de un operador y mañana sustituirlo por un acceso 4G de otro operador y la solución no ha cambiado.
También tenemos mayor control del tráfico: podemos mejorar el comportamiento de las aplicaciones tomando decisiones más específicas sobre ellas y de forma más eficiente.
Claramente, la visibilidad es una característica distintiva. Antes, cuando algo iba mal teníamos que preguntar y raramente nos daban una respuesta o si nos la daban era poco aclaratoria. Ahora podemos ver con muchísimo detalle todo lo que pasa, dónde están los problemas. Tenemos el control completo de nuestra red.
Y así podríamos seguir añadiendo bondades: flexibilidad, autogestión, seguridad, costes evidentemente, calidad… Este tipo de redes están una generación por delante de las redes MPLS
Siendo un cambio conceptual tan radical, las migraciones a redes SD-WAN tienen que ser complejas…
Lo cierto es que si hacemos una foto a una red MPLS y otra foto a una red SD-WAN, se parecen como un delfín a una jirafa. Dicho de otra manera, migrar de la primera a la segunda sería una pesadilla si no fuera por una característica grabada a fuego en el ADN de una red SD-WAN: es independiente del underlay. O lo que es lo mismo, se puede montar sobre cualquier tipo de líneas. Y ahí se nos abre el cielo. Veamos cómo hacerlo.
Partimos de una red MPLS. En su periferia, en todas las sedes, desplegamos la solución SD-WAN, que implemente su colección de túneles transportados por la red MPLS.
En esta situación podemos elegir enviar el tráfico por el overlay (los túneles) o por el underlay, la MPLS. Y así el cliente va comprobando que el underlay es técnicamente eficiente. Llegará un momento en el que todo el tráfico se curse por el overlay. Es el momento de saltar a algo que se llama “red híbrida”. Lo que hacemos es empezar a desplegar accesos de internet de banda ancha en las sedes, en paralelo, y las vamos integrando en la solución de SDWAN. Así llegaremos a una solución de overlay que puede apoyarse tanto sobre MPLS como sobre Internet.
El cliente comprobará que un underlay de Internet le está dando la misma calidad en el overlay que un underlay MPLS. Y entonces se empezarán a dar de baja los accesos MPLS y habremos completado la migración.
Para terminar, ¿Cuál dirías que es el futuro de las comunicaciones WAN?
A ver, éste es un ecosistema altamente cambiante, y lo que hoy es tendencia es muy probable que dentro de tres días esté pasado de moda. Quien diga que puede predecir cómo serán las comunicaciones dentro de 15 años se lo está inventando.
Lo que sí parece claro es que las redes MPLS van a ir desapareciendo y cederán su lugar a redes más modernas. Y yo veo dos vías de modernización: si el cliente busca un modelo CAPEX, es decir: invertir en una red en el momento del despliegue, ser propietario de su infraestructura, acabará teniendo una SD-WAN.
Si, por el contrario, prefiere una solución OPEX, o lo que es lo mismo, de pago por uso, sin inversión inicial y con gasto restringido y asociado al periodo de tiempo en el que se quiera usar, migrará a lo que ahora se llama “Network as a Service”, un modelo igualmente potente que la SD-WAN, si no más, pero con la particularidad de que no existe infraestructura, no hay equipos, no hay nada que instalar en nuestras sedes.
Pero de este concepto, que, aunque suene a magia ya es una solución madura y operativa, hablaremos si quieres otro día.