El rol tradicional de las redes WAN era dar conectividad a los usuarios ubicados en las sedes a las aplicaciones alojadas en servidores en el centro de datos corporativo. La topología de conexión era de tipo estrella. En los últimos años, estas infraestructuras han ido evolucionando, añadiendo nuevas funcionalidades y elementos que la dotaban de ciertas mejoras, pero sin que hubiera cambios drásticos en sus arquitecturas. Esta circunstancia ha hecho que las redes hayan ido aumentando en complejidad, tanto en su diseño como en su operación y gestión.
Como en otros ámbitos (tales como la red de acceso, local y núcleo), las WAN han cambiado al ritmo de la evolución tecnológica. Dichos cambios se pueden resumir en dos grandes hitos: por un lado, entre los años 2000 y 2010 los antiguos enlaces punto a punto para conectar las sedes remotas se sustituyeron paulatinamente por conexiones de fibra y tecnología MPLS. Esta tecnología aportaba mecanismos específicos para garantizar la seguridad y la conectividad y su posterior implementación ligera (MPLS-TP) simplificó y abarató en parte el equipamiento necesario y, por tanto, los servicios de operador. Sin embargo, estas soluciones presentan también algunos inconvenientes, principalmente en lo que respecta a la falta de flexibilidad, al coste (todavía elevado) y a la adecuación de nuevos tipos de conectividad tales como las de usuarios en movilidad.
La WAN definida por software (SD-WAN, por sus siglas en inglés) es un conjunto de tecnologías que proporcionan conectividad de las oficinas y sucursales de una compañía de una forma simplificada y eficiente en comparación con las soluciones de enrutamiento tradicionales.
Las soluciones SD-WAN posibilitan la administración y operación centralizadas de los dispositivos de acceso a la WAN ubicados en oficinas y sedes de las compañías y pueden crear rutas seguras a través de múltiples conexiones como las arquitecturas híbridas de Internet, 4G y MPLS. Además, permite a las organizaciones configurar y administrar el tráfico de WAN de manera centralizada según las políticas de cada empresa, por lo que proporciona mayor agilidad, visibilidad, disponibilidad, seguridad y eficiencia.
Ya llevamos unos cuantos años hablando de esta tecnología. Es más, hace cinco años, un informe realizado por clientes, operadores y fabricantes de software y hardware liderado por el Grupo de Telecomunicaciones de Autelsi respondía a las preguntas como qué es SD-WAN, cómo funciona y por qué esta tecnología. A día de hoy la adopción de esta tecnología está creciendo rápidamente, dando paso a futuras evoluciones como SASE y el Networking as a Service.
En este artículo te contamos un poco más sobre ella:
Índice de temas
En qué consisten las redes SD-WAN
Las redes SD-WAN son redes de área extensa (WAN), definidas por software. Precisamente, lo que hacen las WAN es conectar redes de área local (LAN) a través de grandes distancias mediante el uso de un software de control que funciona con una variedad de hardware de red.
Por lo general, las grandes organizaciones suelen utilizar una WAN para conectar sus distintas sucursales y sedes con la red corporativa central. En las WAN tradicionales, el software que define cómo fluye el tráfico en la red está estrechamente integrado con el hardware que realmente dirige el tráfico.
Sin embargo, una WAN definida por software (SD-WAN) se presenta como una arquitectura WAN más flexible que puede aprovechar múltiples plataformas de hardware y opciones de conectividad. El software de control funciona con cualquier hardware de red. De esta manera, una empresa puede configurar una SD-WAN con el uso del hardware disponible en lugar de un hardware especializado.
Características de las redes SD-WAN: componentes
La SD-WAN consta de tres componentes principales: el dispositivo o equipo local del cliente (CPE), un agregador y un controlador SD-WAN.
- El CPE es un hardware local que incluye servidores, enrutadores y firewall en cada sucursal.
- El agregador es una función a nivel de software que reúne las conexiones WAN dispares en una capa unificada que el elemento de control puede gestionar.
- El controlador SD-WAN es lo que los departamentos de TI empresariales utilizarán para monitorear la red, impulsar nuevas políticas y actualizar los servicios en todas las sucursales.
Cómo funcionan las redes SD-WAN
Como toda infraestructura “definida por software” las SD-WAN funcionan separando el plano de control del plano de datos. En redes, el plano de control hace referencia a todos los elementos que dirigen hacia dónde van los datos. El plano de datos reenvía los datos siguiendo las indicaciones del plano de control.
Históricamente, el plano de control y el plano de datos estaban estrechamente acoplados mediante el uso de equipos de hardware específicos del proveedor. Las SD-WAN separan el plano de control basado en el software del plano de datos basado en el hardware, lo cual permite que el enrutamiento se produzca en el software que se ejecuta en el hardware básico, en lugar de en enrutadores de hardware especializados.
En otras palabras, una red SD-WAN se basa en la creación de una capa de red superior e independiente, sobre los distintos medios de comunicación disponibles (MPLS, banda ancha de Internet, fibra, inalámbrica o LTE). Esta superposición permite a las empresas mantener sus enlaces WAN intactos, mientras que la tecnología SD-WAN ofrece un control de la red y permite la gestión ágil del tráfico de aplicaciones en tiempo real.
Ventajas de las redes SD-WAN
Debido a sus características y en comparación con las WAN tradicionales, estas infraestructuras definidas por software las convierte en una solución mucho más barata, flexible y escalable. Además de aportar otras ventajas.
Veamos en detalle estos beneficios:
Ahorro de costes: ya que las organizaciones no están obligadas a comprar tanto software como hardware del mismo proveedor, pueden adquirir un hardware más barato que sea menos costoso de mantener. Además, las SD-WAN pueden utilizar conexiones normales de Internet en lugar de conexiones de conmutación de etiquetas multiprotocolo (MPLS), que son más caras.
Flexibilidad: las SD-WAN pueden utilizar una variedad de enfoques para el enrutamiento, incluso los métodos heredados utilizados por las WAN tradicionales. Asimismo, pueden aprovisionarse más fácilmente, comprando el hardware básico que sea necesario, en lugar de tener que depender de un solo proveedor de redes.
Escalabilidad: las SD-WAN se pueden ampliar o reducir con facilidad para satisfacer las necesidades de la empresa. El uso de conexiones regulares a Internet hace que sea más sencillo añadir o eliminar sitios, y ampliar el ancho de banda. De hecho, podríamos decir que borra los límites geográficos ya que puede añadir y eliminar conexiones en cualquier sitio en función de las necesidades del negocio.
Optimización del tráfico (conexion a la nube) y redundancia: Los dispositivos SD-WAN son más eficientes, ya que nos conectan directamente a Internet para obtener un acceso más rápido a las aplicaciones en la nube. A ello se suma que las SD-WAN no dependen de los circuitos MPLS y pueden establecer conexiones de red privada virtual (VPN) a través del acceso de banda ancha estándar, Wi-Fi y LTE o 5G. Con varias opciones, los empleados tienen diversas maneras de mantenerse conectados con sus app y datos en la nube pública.
Visibilidad de la red y aplicaciones: Una vez creada la red SD-WAN se monitoriza continuamente la calidad, el equipamiento, los túneles y cada uno de los accesos que componen la red. Esa monitorización permite a las empresas tener visibilidad del estado de los elementos de la red y el uso que se le está dando. Las empresas pueden combinar conexiones en función de las prioridades de contenido.
Mayor seguridad: El cifrado del tráfico se realiza a medida que ésta se traslada de una ubicación a otra. Con la microsegmentación, podemos aislar un ataque desde la red interna. De forma que un equipo comprometido quede aislado y se minimicen los daños y el alcance del ataque. Este punto, sin embargo, tiene su otra cara de la moneda, como podemos observar en sus inconvenientes.
Inconvenientes de las redes SD-WAN
Pero no todo son ventajas, también las redes SD-WAN plantean una serie de inconvenientes como:
Seguridad: SD-WAN carece de funciones de seguridad in situ. La SD-WAN hace que todas las sucursales estén conectadas a Internet, dejando todos los sitios abiertos a los ataques. Y una violación de datos en un sitio podría afectar a toda la organización. Esto hace que sea necesario implementar estándares de seguridad para garantizar que la red permanezca protegida y no expuesta a amenazas externas.
Errores: Las SD-WAN pueden sufrir fluctuaciones y pérdidas de paquetes. De hecho, nada asegura una verdadera calidad de servicio si sólo se utilizan las disposiciones de estas redes.
Dependencia: Las redes SD-WAN implican depender en gran medida del personal de TI para implementar y mantener esta solución técnica. Si no pueden hacerlo, habrá que recurrir a ayuda externa lo que podría incrementar los costes. Además, también supone dar al ISP el control del ancho de banda dedicado y sobre las medidas de seguridad.
Redes SD-WAN vs MPLS
La conmutación de etiquetas de protocolos múltiples, también conocida como MPLS (del inglés Multiprotocol Label Switching), y las redes de área amplia definidas por software (SD-WAN) son dos métodos para conectar las diferentes oficinas de las empresas.
MPLS es un método común para construir las conexiones entre las LAN que constituyen las WAN. Mediante el uso de enrutadores especializados, la MPLS envía paquetes a por rutas de red predeterminadas. Tales caminos pueden utilizarse como el tejido de conectividad que compone una WAN y permiten que coexistan múltiples WAN virtuales en una red troncal compartida. Sin embargo, su instalación lleva bastante tiempo, puede ser costosa y requiere un servicio contratado de un operador o empresa de telecomunicaciones.
Como hemos visto, una red SD-WAN es una red grande que conecta las LAN utilizando software, no hardware. Las SD-WAN no requieren ningún equipo especializado para el enrutamiento. Funcionan a través de la Internet normal, lo que hace que sean más baratas de implementar que otros métodos de red.
El modelo SD-WAN no excluye el uso de MPLS, el MPLS puede ser uno de los métodos de red utilizados en una SD-WAN, pero, en comparación, las SD-WAN suelen ser más flexibles y rentables.
Redes SD-WAN vs SDN
SDN (Software Defined Networking) y SD-WAN (Software Defined Wide Area Network) son tecnologías de red que utilizan software para gestionar y controlar la red, pero tienen enfoques diferentes.
La red definida por software es un enfoque de la arquitectura de red que les da a los usuarios la capacidad de controlar la red de manera inteligente mediante software. Los operadores pueden controlar centralmente la red y personalizar su rendimiento para satisfacer las necesidades específicas de una compañía. Para programar la red, los usuarios emplean interfaces de programación de aplicaciones (API) en lugar de depender de controles ubicados físicamente en piezas individuales de hardware.
Ambos conceptos comparten características como que el plano de datos y el plano de control están separados, su compatibilidad con hardware x86 básico, la virtualización y la posibilidad de función de red virtual (VNF).
Por otra parte, la principal diferencia entre estas tecnologías es que SD-WAN ofrece una red WAN que conecta múltiples sitios entre sí, lo que la convierte, de alguna manera, en una SDN en la WAN. Por otro lado, la SDN se puede utilizar para formar redes que se pueden cambiar rápidamente de acuerdo con lo que necesita una organización, operando en una red de área local (LAN), la SD-WAN está diseñada para admitir WAN que se extienden en un área geográfica extensa.
Otra diferencia es que la SD-WAN es administrada por el proveedor que la proporciona en lugar de por recursos internos. Por lo tanto, puede requerir menos trabajo de un administrador de red porque el proveedor proporciona el servicio.
| SDN | SD-WAN |
|---|---|
| – Se enfoca hacia adentro en la red LAN o del proveedor de servicios – Programable y personalizable – Habilitado por NFV – Diseñado por el usuario | – Se centra en ubicaciones geográficamente distribuidas – Preprogramado y menos complejo – El enrutamiento puede ejecutarse virtualmente o a través de un dispositivo SD-WAN – Configurado por el proveedor |
Primer paso para el salto a SASE
La migración de datos y aplicaciones a la nube, el teletrabajo y la necesidad de las empresas de llevar a cabo una transformación digital ha supuesto que los modelos de red existentes y los sistemas de seguridad tradicionales ya no sean suficientes para garantizar conexiones seguras. A esto hay que sumarle el incremento de la ciberdelincuencia y los enormes costes que tiene para las organizaciones. La evolución necesaria a todo ello es lo que en 2019 Gartner denominó SASE (Secure Access Service Edge, por sus siglas en inglés).
SASE es un concepto de ciberseguridad, una arquitectura basada en la nube que ofrece servicios de red y seguridad destinados a proteger tanto a los usuarios como las aplicaciones y los datos. Esta tecnología permite a las organizaciones garantizar el acceso inmediato e ininterrumpido de los usuarios de forma segura desde cualquier lugar.
Dicha arquitectura identifica a los usuarios y dispositivos, aplica mecanismos de seguridad basándose en políticas determinadas y ofrece acceso seguro a la aplicación o los datos adecuados. Este modelo permite a las organizaciones aplicar controles de acceso seguro, independientemente de las circunstancias.
Ofrece servicios de red y seguridad en la nube, es el fruto de la convergencia de las redes de área extensa (WAN) y los servicios de seguridad de la red, como los CASB (agentes de seguridad de acceso a la nube), los cortafuegos como servicio (FWaaS) y el acceso Zero Trust (confianza cero) todo ello en un único modelo de servicios en la nube.
Este concepto emergente va unido a SD-WAN y empieza a cobrar mayor protagonismo en empresas distribuidas o con varias sedes.
