Oficina de Sarenet en Zamudio SD-One

Últimamente cuando leo artículos sobre SD-WAN me resulta muy difícil saber en qué consiste este nuevo fenómeno de las redes definidas por software. En la mayor parte de ellos sólo habla de las ventajas y virtudes y no se explica en qué consisten, recordándome irremediablemente a las medicinas milagrosas curalotodo. A pesar de lo machacón del mensaje, nunca me han conseguido deslumbrar estos artículos y con el tiempo, me he dado cuenta que parte de mi falta de fe en esta nueva religión tiene que ver con la forma con la que hemos diseñado durante años nuestro servicio estrella ¨VPN-MPLS¨ en Sarenet. Intentaré explicar esto último a continuación y lo intentaré hacer con palabras sencillas que todos podamos entender.

Primero tenemos que saber en qué consiste una red SD-WAN. Si nos ceñimos al nombre (Software Defined Wide Area Network) vemos que se trata de redes que se definen por software. La receta para montarlas consiste en instalar una serie de ¨cajas=dispositivos¨ que pondremos en nuestras sedes. Por un lado, conectadas a nuestras redes internas, y por otro, a conexiones Internet de diferentes operadores y medios.

Las ¨cajas¨ tienen la inteligencia suficiente para seleccionar por cuál de los enlaces a los que están conectados cursarán el tráfico y la capacidad para encontrar y trazar caminos hacia otras ¨cajas¨ de la misma corporación, estableciendo túneles de forma dinámica. Para decidir por dónde enviar el tráfico, cuentan con mecanismos que permiten analizar el estado de salud de la línea, las latencias, o el ancho de banda disponible. De esta forma tenemos respaldos de las líneas automáticos en caso de caída.

Las cajas pueden enviarse a la sede en la que van a ser instaladas y conectándola a una línea de Internet son capaces de autoconfigurarse.

Como parte del servicio, también podemos llegar a contar con un sitio en el que vemos qué está sucediendo de forma centralizada. Si la caja también tiene funciones de cortafuegos tradicional tendremos lo que algunos fabricantes denominan SD-WAN seguro.

Como decía al principio, lo que he encontrado en la mayoría de los artículos que he leído son las ventajas de este tipo de redes. Enumero algunas de ellas.

Abaratamiento de los costes de las comunicaciones ya que las líneas pueden ser de bajo coste al no ser MPLS

• Rápido retorno de inversión

• Reducción de costes operativos

Gestión centralizada

Back-Ups automáticos

• Mayor seguridad

• Ancho de banda flexible y multitecnologías

• Facilita el trabajo con servicios en cloud o multi-cloud

• Borrado de fronteras e independencia de la ubicación para el despliegue

Las VPN MPLS son otra forma de dar solución a la necesidad de interconexión de las sedes de una empresa. En este último caso, el operador crea una red privada para ese cliente sobre su infraestructura. Las sedes se conectan a esta red virtual creada por el operador en su backbone. En este caso, quién se ve con quién, se define en la red del operador y no en dispositivos externos. Esas redes poseen mecanismos para priorizar el tráfico.

En SD-WAN, un enlace Internet puede ¨saturarse¨ con un ataque de DDoS y aunque la ¨caja ¨ tenga la inteligencia suficiente para aislar la sede y protegerla, la línea seguirá saturada

El servicio VPN – MPLS puede darse de formas diferentes, y en nuestro caso, enriquecimos el servicio dotándolo de una serie de ventajas al tomar las siguientes decisiones en su diseño:

• Permitimos que el cliente eligiera entre dos opciones: una red totalmente privada sin salida a Internet o con una salida centralizada a Internet. En este último caso el tráfico se encuentra fiscalizado por un cortafuegos alojado en nuestro Data Center.

• Decidimos que nuestros clientes podrían utilizar cualquier tecnología de transmisión que tuviéramos disponible en una sede para conectar sus redes: FTTH, ADSL, 4G, radioenlaces, ethernet dedicada…

• Dotamos a las sedes de la capacidad de contar con respaldos automáticos utilizando dos líneas de diferentes tecnologías.

• Permitimos que los respaldos pudieran configurarse de forma activo-pasivo o activo-activo.

• Dimos visibilidad de lo que estaba sucediendo en la red. Nuestros clientes pueden ver quién de su organización genera tráfico, y qué tipo de tráfico circula dentro de su VPN.

• El precio de los enlaces no diferiría mucho respecto al de las líneas de Internet.

• El cliente no gestionaría nada de la configuración de la red siendo parte del servicio.

Todas estas decisiones que definen cómo es nuestro servicio VPN-MPLS son las que hacen que la comparativa de las ventajas que aporta el SD-WAN no me acabe de deslumbrar y me reafirman en mi convicción de que nuestro servicio es una muy buena opción capaz de cubrir las necesidades de nuestros clientes.

Si en SD-WAN hablan de abaratamiento de líneas no se trata de nuestro caso. Nuestras líneas MPLS cuestan 15 €/mes más que las líneas de Internet. Además, se trata de líneas empresariales.

Si entramos en el debate del retorno de inversión o de abaratamiento de costes operacionales, no hay coste más bajo que el de nuestro servicio, en el que la gestión está incluida.

Respecto a la parte más técnica, nuestras MPLS soportan líneas de diferentes tecnologías, tienen respaldos automáticos y monitorizan y muestran al cliente lo que está sucediendo en la red. Si en la SD-WAN podemos reservar tráficos, en la MPLS podemos priorizarlos de una forma más eficiente utilizando los mecanismos de QoS y también podemos reservar anchos de banda en el cortafuegos perimetral para acceder a los servicios en la nube. Además, se trata de redes que no pueden ser alcanzadas desde Internet por lo que los ataques directos son improbables. En SD-WAN, un enlace Internet puede ¨saturarse¨ con un ataque de DDoS y aunque la ¨caja ¨ tenga la inteligencia suficiente para aislar la sede y protegerla, la línea seguirá saturada. Otro punto a tener en cuenta con las SD-WAN, si buscamos un servicio sin cortes, es que la ¨caja¨ que tenemos que instalar constituye un punto crítico de fallo.

En cambio sí hay una clara ventaja que veo de gran utilidad, y es la que tiene que ver con el borrado de las fronteras. Es cierto que las soluciones SD-WAN permiten despliegues rápidos e independientes de las líneas de comunicaciones y es en estos casos, cuando es más necesario definir nuestras redes de esta forma. Un escenario habitual tiene que ver con las conexiones desde el extranjero. La cobertura de Sarenet es total en España pero en otros países debemos contar con líneas de otros operadores que tunelizamos hacia las redes de nuestros clientes. La compra de esas líneas generalmente la realizamos a través de brokers que gestionan también sus incidencias. Todo esto encarece el coste de los enlaces para el cliente final y hace que la operativa sea un poco más lenta. Una fórmula magistral es plantear una situación mixta, SD-WAN entre el cortafuegos perimetral de la VPN-MPLS y sedes en el extranjero. De esta forma, desplegamos rápido las líneas pueden contratarse en el país en el que se utilizan, y el soporte de las mismas lo puede prestar el operador local.

Si has conseguido llegar hasta el final de este artículo te preguntarás si Sarenet puede desplegar una solución SD-WAN y gestionarla. La respuesta es que sí, pero si te acercas a nosotros, siempre te recomendaremos lo que creemos que es mejor en cada caso para tus necesidades.

Por Aitor Jerez. Director Comercial de Sarenet