SDN – Introducción a redes definidas por software parte 2 SDN – Introducción a redes definidas por software parte 2
En el anterior artículo nos quedamos hablando sobre VXLAN y como se utiliza para enviar tráfico entre equipos que se encuentran en sedes distintas... SDN – Introducción a redes definidas por software parte 2

En el anterior artículo nos quedamos hablando sobre VXLAN y como se utiliza para enviar tráfico entre equipos que se encuentran en sedes distintas utilizando la misma VLAN.

En las redes tradicionales para que un paquete se transmita desde origen a destino, el plano de control utiliza principalmente tres fuentes de información:

  • La tabla MAC donde ve la información de las MAC que hay que los puertos de un switch de capa 2
  • La tabla ARP donde se puede consultar la correspondencia ip MAC.
  • La tabla de rutas donde vemos el camino que podemos seguir para alcanzar determinado destino.

La red underlay, así la habíamos definido, básicamente usa esta información para enviar la información pero si nuestro controller crea una red overlay sobre esta red tradicional y usa un túnel VXLAN para alcanzar un destino de la misma VLAN pero en sedes remotas, necesita más información puesto que en las tablas que hemos descrito anteriormente no podrá obtener como llegar a él.

Siguiendo con el ejemplo, si queremos enviar tráfico desde 10.0.0.2 hasta 10.0.0.3 en una red tradicional a nivel 2, básicamente el switch hará lo que se denomina MAC address Lookup, busca en la tabla MAC para buscar porque puerto envía los datos.

Ahora, por el contrario nos vamos a nuestra red underlay, para llegar de uno a otro, estando en equipos distintos y sedes remotas, el DNA Center construye el túnel VXLAN entre los dispositivos para enviar el tráfico pero para enviar este tráfico ya no podemos hacer una búsqueda en las tablas anteriores, necesitamos otra tabla para hacerlo.

Pero antes, hemos de introducir algunos términos nuevos. Fabric Edge Node, Fabric Border Node y Fabric Control Node.

Fabric Edge Node es el dispositivo (acceso y distribución) que está conectado directamente a los clientes y que conecta estos al ecosistema SDA. Son la capa de acceso para los usuarios y dispositivos conectados al Fabric, los responsables de acciones tales como:

  • Autenticación y autorización de dispositivos (802.1x, AD,…)
  • Encapsulación del tráfico.
  • Registro de Endpoint ID con el plano de control.

Fabric Border Node es el dispositivo (core) que conecta redes de nivel 3 externas al Fabric, al ecosistema SDA. Son los puntos de entrada y salida del tráfico que viaja desde y hacia el Fabric. Aquí existen varios tipos según el tipo de redes que conozcan.

Fabric Control Node son los dispositivos que son capaces de realizar la funcionalidad de reencaminar tráfico en la red overlay, dispositivos que soportan la funcionalidad llamada LISP Map Server.

LISP (Location ID Separation Protocol) y es la pieza que nos faltaba para poder comunicar los host utilizando túneles VXLAN.

Estos nodos son los encargados de mantener las tablas de mapeo LISP.

Bien, con esta tabla, cuando nuestro host 10.0.0.2 quiera comunicarse con otro host 10.0.0.3 que está en otro Fabric, cuando llegue al Fabric Edge Node, este mirara la tabla LISP para ver donde tiene que enviarlo. Con esa información puede construir el túnel VXLAN origen 172.20.0.1 y destino 172.20.0.6 por el que enviar le tráfico. Así es como el controller, Cisco DNA Center en el caso que nos ocupa, mantiene la información de donde esta cada Endpoint y propaga las tablas a todos los dispositivos de nuestro ecosistema SDN.

Esta manera de concebir la red, nos da también muchísima potencia a la hora de introducir seguridad en las comunicaciones. En una red tradicional, si queremos limitar el tráfico de un endpoint que está en la misma red, no nos queda otra que aplicar una lista de acceso en el puerto en el que está conectado.

¿Y si ese equipo se mueve a otro puerto? Evidentemente la respuesta es clara, habrá que cambiar la lista de acceso. Bien, ahora imagina que el DNA Center se encarga de esto, podemos crear una política de seguridad para ese Endpoint y aplicarla. Ahora movemos el dispositivo a otro punto de la red, el propio DNA Center se encarga de aplicar la misma política de seguridad que tenía sin necesidad de cambiar nada. Esta filosofía es aplicable también por ejemplo a los QoS.

 

Mandatory Cisco DNA Licensing - is this the Future ...

Ya que estamos hablando en primera persona de DNA Center veamos algunas características:

  • Facilidad de aplicar QoS
  • políticas de seguridad centralizadas
  • Monitorización completa de todos los equipos de la red en tiempo real y de los clientes.
  • Rendimiento de red en cualquier punto, comparación entre estados actual y pasados para diagnóstico.
  • Path Trace
  • Análisis de tráfico para poder detectar tráfico sospechoso, incluso el tráfico cifrado.

 

Todo esto también es aplicable al Data Center y Cisco tiene su propia solución para ello, arquitectura diferente, un controlador diferente pero al final conceptos similares. Cisco ACI y su controller APIC, los nodos LEAF y Spine que corresponde a los Edge y Border que hemos descrito anteriormente. La arquitectura es muy similar:

Los LEAF son los nodos que conectan con los clientes, en este caso los servidores que están agrupados en lo que se llaman EPGs (End Point Groups) y la parte Spine es el Core de la red. También se necesita un controller que es el encargado de dirigir todo el ecosistema, en este caso el APIC (Application Policy Infracture Controller).

En siguientes entradas veremos que esta nueva manera de ver las redes empresariales nos brinda unas posibilidades enormes, nos introduciremos en el uso de APIs y la automatización.

Saludos

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies