SD WAN, Conceptos básicos y arquitectura
SD-WAN es uno de los temas de actualidad en el mundo de las redes y que ha generado grandes expectativas de cambio en la industria, tanto que se habla de un impacto similar al que hubo cuando se pasó al mundo IP o al que supuso MPLS. Se trata de un planteamiento que propone centralizar la gestión de la red y utilizar múltiples transportes, incluyendo opciones económicas como líneas convencionales de Internet.
Hay una cita de 1997 que encontré estudiando otro tema y es interesante por su cercanía los conceptos que maneja SDWAN:
Si bien es un cambio importante y se acerca a los deseos de Keshav, no podemos inflar las expectativas sobre sd wan.
La idea de esta entrada es explicar en qué consiste SD-WAN, las motivaciones para el cambio y su impacto, evitando caer en definiciones excesivamente académicas, sino haciéndolo de forma didáctica. Las promesas de la tecnología son bastante conocidas pero no es del todo sencillo entender en qué consiste SDWAN, por lo que empezaremos por esta parte.
Si en vez de utilizar accesos a internet utilizamos accesos MPLS como underlay, sucede lo mismo; la solución crea también túneles IPSec entre sedes para construir el overlay.
Hay una cita de 1997 que encontré estudiando otro tema y es interesante por su cercanía los conceptos que maneja SDWAN:
"El Santo Grial de las redes de computadores es diseñar una red que tenga la flexibilidad y el bajo costo de la Internet, pero que ofrezca las garantías de calidad de servicio extremo a extremo de la red telefónica" - S. Keshav; 'An Engineering Approach to Computer Networking'. 1997
Si bien es un cambio importante y se acerca a los deseos de Keshav, no podemos inflar las expectativas sobre sd wan.
¿Qué es SDWAN?
SDWAN no deja de ser una forma de proporcionar conectividad privada entre sedes como lo es MPLS y otras tecnologías, por lo que podemos representarlo de la forma habitual con una nube que simplifica la red y las sedes a los extremos con los routers que dan conectividad WAN.
SD-WAN - visión simplificada
¿Qué tiene de especial y de novedoso entonces? Dos cosas fundamentalmente que son la base para proporcionar las funcionalidades prometidas:
- Gestión centralizada.
- Overlay. Uso inteligente de múltiples transportes.
Gestión centralizada en SD-WAN
Primero vamos a reflexionar brevemente en cómo se gestiona una red tradicional basada en MPLS.
- Los routers funcionan de forma autónoma intercambiando entre ellos la información de routing y encaminando los paquetes en base a ella.
- Las configuraciones y cambios son realizados equipo a equipo. Esto implica que algunos de los retos para gestionar una red de este tipo son:
- Mantener la homogeneidad en las configuraciones de los routers. Esto es especialmente difícil en el caso de redes grandes y depende de seguir procesos y procedimientos para la gestión de plantillas.
- Gestión de cambios. En una red con varias o muchas personas con acceso a los equipos, es fácil que se realicen cambios perjudicando a la homogeneidad de las configuraciones. Esto implica en determinados casos la realización de auditorías.
- Realización de cambios masivos. Si bien existen herramientas para desplegar configuraciones masivas, estas no están completamente integradas y en caso de ser configuraciones con algo de complejidad no sirven. Además, depende de que los dos puntos anteriores hayan sido cumplidos, si no, tiene que ser manual en cuyo caso la carga de trabajo puede llegar a ser elevada (imaginemos una red con 2000 equipos...).
SD-WAN utiliza un sistema centralizado que en contraste con la red tradicional funciona de la siguiente manera:
- La información de routing está centralizada. Es decir, un nodo central tiene el routing a las sedes y se encarga de distribuirlo con las políticas necesarias. Esto permite ciertas funcionalidades que hasta ahora no se podían implementar o eran excesivamente complejas. Por ejemplo, se puede definir fácilmente que para ir de la sede A a la sede B se pase por un punto C en el que hay un firewall.
- Configuraciones centralizadas. Todas las plantillas y configuraciones están en el sistema y se cargan en los equipos desde el mismo. Revisando los puntos que vimos antes:
- Las configuraciones son homogéneas, pues las plantillas son las mismas para todas las sedes (realmente va por grupos y tipologías de sedes, pero es detalle a más bajo nivel)
- Cambios masivos. Para desplegar cualquier tipo de política globalmente basta con realizar la modificación en la plantilla y desplegarla. Esto es así independientemente de la complejidad de la configuración.
Overlay: Utilizando múltiples transportes
La primera imagen que vimos mostraba cómo SD-WAN interconecta sedes entre sí, pero esta simplicidad es desde el punto de vista lógico y es de hecho una de las ventajas que proporciona esta tecnología. Por debajo las sedes pueden estar conectadas con distintas tecnologías y niveles de complejidad y es lo que se denomina el 'underlay'. El concepto consiste en crear una red de túneles lógicos encima de la conectividad física, creando así el 'overlay'.
Empecemos por un caso sencillo. Podemos utilizar accesos de internet estándar para dar la conectividad, que son más baratos que los MPLS entre otras ventajas que veremos más adelante. Lo que hace la solución SDWAN es utilizar internet como underlay para construir dinámicamente túneles entre las sedes de forma que se crea un overlay. Obviamente estos túneles están cifrados, pues partimos de que la solución ha de ser segura. Técnicamente a priori no parece gran cosa montar túneles IPSec entre sedes, pero la gracia es que esto se hace dinámicamente eliminando la complejidad de la gestión del IPSec (claves, configuraciones, problemas de escalabilidad si se hace manualmente) y está integrado con el resto de la solución.
Qué hay debajo del overlay
Sin embargo, la cosa se complica si ya mezclamos los dos tipos de accesos para el underlay, que incluso podrían ser más como por ejemplo acceso a internet utilizando 4G para tener mayor redundancia. A esto se le llama 'WAN Híbrida' o 'Hybrid WAN' en inglés. Aquí también entra en juego la capacidad de la tecnología para monitorizar el estado de los túneles y escoger un camino u otro según la situación o políticas. Las posibilidades que nos da esto son algunas de las claves para la adopción de SD WAN y las veremos en el siguiente apartado.
¿Por qué SD WAN?
Como siempre en estos temas la motivación se traduce principalmente en una reducción de costes, aunque también hay algunos aspectos de valor añadido como mejora en la seguridad y la redundancia. Veamos cuales son las principales motivaciones.
Desde el punto de vista del cliente
Mejora en el uso del ancho de banda MPLS
El ancho de banda en MPLS es caro en comparación con el de internet. Si pensamos en el uso que los usuarios dan a la conexión, tenemos desde aplicaciones críticas hasta la navegación por internet. De hecho ya en las redes MPLS utilizamos QoS para garantizar un determinado BW según el tipo de aplicación. Con SDWAN podemos ir un paso más allá y pasar determinado tráfico a un enlace de internet en lugar de utilizar el de MPLS, reduciendo así el coste. No solo esto, sino que desde determinado punto de vista se estaría aprovechando el ancho de banda del enlace de backup.
Otro punto a tener en cuenta es que, gracias a la capacidad de monitorear el estado de los túneles, en caso de pérdida de calidad de uno de los enlaces SDWAN puede pasar automáticamente el tráfico al otro.
Otro punto a tener en cuenta es que, gracias a la capacidad de monitorear el estado de los túneles, en caso de pérdida de calidad de uno de los enlaces SDWAN puede pasar automáticamente el tráfico al otro.
Acceso eficiente a servicios en la nube
Una de las tendencias en el contexto actual es la de los servicios alojados en la nube y accesibles a través de Internet, frente al anterior formato de alojamiento en Data Centers de cliente. El diseño habitual en redes tradicionales implica que la salida a internet de las sedes se hace de forma centralizada a través de algún DC del cliente donde se aplica la seguridad. Esta combinación hace que para acceder a un servicio un usuario (1) consuma ancho de banda del enlace MPLS de la sede, (2) consuma ancho de banda MPLS del DC y finalmente (3) consuma de la salida a internet del DC. Además, puede darse la situación de que una sede en Francia para consumir un servicio de la nube que se halla también en este país tenga que salir por un DC del cliente en Madrid, lo que en términos de RTT no sería nada óptimo. Por lo tanto, en una solución tradicional accedemos a servicios en la nube de forma poco eficiente y gastando un ancho de banda significativo en la red MPLS.
La solución que ofrece SDWAN consiste en acceder directamente a los servicios en la nube a través del enlace de Internet, lo que permite reducir el uso de BW MPLS y mejorar el RTT en determinados casos. Obviamente la seguridad aquí es relevante y existen muchas opciones que dependen de la solución. Por citar una interesante, se puede provisionar un router virtual en la plataforma del proveedor para acceder a los servicios, de modo que a efectos prácticos sería una sede más de la solución SDWAN. De este modo tenemos un acceso al servicio con menor coste en ancho de banda y potencialmente mejor rendimiento por la reducción de latencias. Con un dibujo se entiende mejor:
SD-WAN vs MPLS accediendo a servicios en la nube
Despliegue de circuitos más rápido
La provisión de los circuitos MPLS es compleja y una de las demandas de los clientes es mejorar los tiempos de entrega en los circuitos, pues para algunos de ellos sus necesidades de negocio lo demandan como se puede ver en algunos ejemplos. Si bien existen algunas opciones para acelerar esto en el mundo MPLS mediante la entrega de accesos a internet con soluciones IPSec o DMVPN, estas son limitadas y complejas. Por su propia naturaleza SD-WAN facilita enormemente la instalación de una sede, pues con tener cualquier tipo de conectividad a internet solo es cuestión de enviar el hardware y ponerlo a funcionar, ya que la solución se encarga de gestionar los túneles automáticamente. Esto evita incurrir en los tiempos que genera el proveedor en el proceso de alta de un enlace MPLS.
Independencia de proveedor de circuitos
En el entorno MPLS la comunicación entre sedes en redes de distintos proveedores requiere de pasarelas específicas para el cliente, lo que hace preferible tener el menor número posible de proveedores. Sin embargo con SD-WAN la solución es independiente del proveedor del underlay (al menos en su parte de internet, si hablamos de underlay MPLS la situación es similar a la anterior), lo que permite al cliente escoger la oferta que mejor se ciña a su interés.
Otro de los conceptos que manejan los clientes es el de utilizar dos proveedores distintos para en teoría garantizarse la diversificación y así obtener mayor redundancia. Sin embargo esto puede ser un arma de doble filo, porque es probable que en la última milla el proveedor sea el mismo, por lo que hay más opciones de obtener la redundancia con un único proveedor que traslade tal cual el requerimiento al de última milla.
Segmentación
Hoy en día una red tiene múltiples usos que van desde el acceso de usuarios a los sistemas corporativos hasta el acceso WiFi para invitados, pasando por sistemas de vídeo vigilancia. Además de por gestión, es una buena práctica segmentar estos tipos de datos en distintas redes y habitualmente se hace por VLANs a nivel de sedes. Sin embargo, es menos habitual hacerlo a nivel WAN, por lo que puede haber conectividad IP entre dispositivos que no se tendrían que comunicar entre sí y lo que puede llegar constituir una vulnerabilidad. Para segmentar a nivel WAN la opción es el uso de VPNs independientes, pero es algo costoso y complejo en una red tradicional, pues estas VPNs tienen que configurarse a nivel de red MPLS por parte del proveedor. SDWAN tiene la capacidad crear VPNs de forma sencilla, lo que ofrece la posibilidad de llegar a cabo una mayor segmentación del tráfico y por tanto mejorar la seguridad.
Integración de funcionalidades
Los equipos SDWAN en las sedes van a permitir instalar NFVs en ellos, lo que habilitará una serie de cambios en el diseño de las redes. Una NFV es una función de red virtualizada, es decir, desaparece un dispositivo hardware y se convierte en una función virtualizada en este caso en el router. Por ejemplo, podemos eliminar un firewall físico de una sede y llevarlo a un NFV en el router.
Desde el punto de vista del proveedor
Eficiencia en la gestión
Como vimos antes, la gestión centralizada de la solución ofrece una serie de ventajas muy importantes.
- La consistencia en las configuraciones dota a la red de una mayor estabilidad, lo que se traduce en un menor número de incidencias que tiene que procesar el proveedor.
- La provisión de las sedes se simplifica gracias al uso de plantillas definidas en el sistema. Incluso hay opciones con ZTP que potencialmente evitarían incluso la visita de un técnico especializado.
Integración de la red con OSS y BSS
Dado que la solución pasa a ser un sistema, los datos están modelados en detalle y son los reales configurados en los equipos, siendo accesibles por los propios sistemas del proveedor mediante APIs y ofreciendo así enormes posibilidades.
Sin ir más lejos, la gestión de inventarios en MPLS es un reto y con este formato se simplifica enormemente y se evitan costosas auditorías para comparar lo que hay en la red y lo que hay en los sistemas.
Simplificación del 'core'
SD-WAN traslada parte de la complejidad de la red desde su núcleo al borde. Por ejemplo, el routing de un cliente con 10.000 rutas en MPLS se tiene que conocer en todos los PEs, mientras que en SD-WAN los PEs solo tienen que conocer las direcciones WAN de los equipos en casa de cliente para montar los túneles, pues el routing se halla en el overlay. Otro ejemplo es el de las VPNs; si tenemos un cliente MPLS con 10 VPNs, estas deben estar en todos los PEs que le den conectividad mientras que en SDWAN basta con una sola VPN de transporte y el resto se definen también en el overlay. Si consideramos varios clientes con estas características, parece claro que esta reducción en la complejidad del núcleo de la red permitirá el uso en esta de equipos menos potentes y de menor coste.
Desafíos
No todo iban a ser ventajas y posibilidades. Tanto la tecnología como el mercado SDWAN no están aún maduros y de ahí parten la mayoría de incertidumbres actuales a la hora de decidir e implantar este tipo de soluciones.
- No se aplica un estándar en las soluciones SD-WAN. Aunque existe Openflow, realmente no existen unos estándares como en MPLS y TCP/IP que haga la red interoperables las soluciones de distintos fabricantes.
- Independencia del proveedor de comunicaciones... pero dependencia del fabricante, pues como hemos visto las soluciones SDWAN no son fácilmente interoperables entre sí.
- Mercado no consolidado. No hay unos líderes claros del mercado, sino que hay cantidad de soluciones de grandes empresas como Cisco y otras de startups o empresas con menos presencia en el mercado de la WAN. De hecho se están sucediendo multitud de adquisiciones. Esto hace que no sea sencillo la elección de un proveedor de tecnología SD-WAN.
- Las soluciones no están completamente maduras. Dado el poco recorrido que aún llevamos con esta tecnología, algunas de las necesidades se van identificando a la hora de implementar la solución en diversos casos. También se da el caso de que hay funcionalidades que no están del todo afinadas.
- El conocimiento de la tecnología, sus posibilidades, qué se necesita realmente y cómo implementarlo es aún limitado en el ecosistema. Por ello, es clave una estrecha colaboración entre clientes, integradores y fabricantes de modo que se pueda entender qué se necesita, qué se puede hacer, cómo se puede hacer y por último implementarlo.
Hype Cycle
Como nota final me parece interesante incluir el Hype Cycle de Gartner (aquí explicación de qué es) para ver dónde se encuentra SDWAN a finales de 2018. Está claro que SD-WAN aún no está en plena productividad pero ya está en camino a consolidar la tecnología y a su adopción generalizada, manteniendo unas expectativas relativamente realistas.
Comentarios
Publicar un comentario