Capítulo 34: Evolución de la red

Capítulo 34: Evolución de la red

La tecnología cambia constantemente. Las redes están en constante evolución.

Internet de las cosas (IoT) es una frase que se refiere a los miles de millones de dispositivos electrónicos que ahora pueden conectarse a nuestras redes de datos y a Internet.

La computación en la nube y la virtualización permiten que las personas y las organizaciones guarden una gran cantidad de datos y accedan a ellos sin preocuparse por los componentes físicos.

Las redes definidas por software (SDN) están cambiando el concepto que los administradores de redes tienen sobre la arquitectura de sus redes.

Este capítulo brinda una introducción a estas tendencias emergentes de las redes actuales.

¿Qué es IoT?

En muy poco tiempo, Internet modificó radicalmente la forma en que trabajamos, vivimos, jugamos y aprendemos. Sin embargo, esto recién es el comienzo. Mediante tecnologías existentes y nuevas, conectamos el mundo físico a Internet. Al conectar los dispositivos sin conexión, pasamos de la Internet a la Internet de las cosas (IoT).

Desde sus humildes comienzos como Red de la Agencia de Proyectos de Investigación de Avanzada (ARPANET) en 1969, que interconectaba unos pocos sitios, ahora se estima que Internet interconectará 50 000 millones de dispositivos en 2020. IoT hace referencia a la red de objetos físicos accesibles desde Internet.

50 000 millones de objetos proporcionan billones de gigabytes de datos. ¿Cómo pueden trabajar en conjunto para mejorar nuestra toma de decisiones e interacciones y, así, mejorar nuestras vidas y negocios? Las redes que utilizamos a diario son las que permiten estas conexiones.

La red convergente y los objetos

Cisco estima que el 99 % de las cosas que existen en el mundo físico se encuentran desconectadas. Por lo tanto, IoT experimentará un enorme crecimiento mientras conectamos más de lo desconectado.

Como se muestra en la ilustración, en la actualidad hay muchos objetos conectados mediante un conjunto disperso de redes independientes y de uso específico. Por ejemplo, los automóviles actuales tienen varias redes exclusivas para controlar el funcionamiento del motor, las características de seguridad y los sistemas de comunicación. Si estos sistemas se conectaran a una única red, se ahorrarían más de 50 lb o 23 kg de cable en un automóvil moderno de cuatro puertas. Otros ejemplos son los edificios comerciales y residenciales, que tienen distintos sistemas de control y redes para calefacción, ventilación y aire acondicionado (HVAC), servicio telefónico, seguridad e iluminación.

Estas redes diferentes se están unificando para que compartan la misma infraestructura. Esta infraestructura incluye funcionalidades completas de seguridad, análisis, y administración. La conexión de los componentes a una red convergente que usa tecnologías de IoT aumenta la capacidad de la red de mejorar la vida cotidiana de las personas.

Desafíos para la conexión de dispositivos

IoT conecta los objetos inteligentes a Internet. Conecta dispositivos informáticos tradicionales y dispositivos no tradicionales. En la IoT, la comunicación se da de máquina a máquina (M2M), lo que permite la comunicación entre máquinas sin intervención humana. Por ejemplo, el M2M se produce en automóviles con sensores de temperatura y de aceite que se comunican con una computadora integrada.

Haga clic en Reproducir en la figura para ver cómo Cisco está desarrollando soluciones de digitalización para todo tipo de industrias. La digitalización implica la conexión de personas y cosas, y la interpretación de los datos de manera significativa y segura.

Los seis pilares del sistema de IoT de Cisco

El desafío de IoT es integrar de manera segura millones de cosas nuevas de diversos proveedores a las redes existentes. A fin de abordar estos desafíos, Cisco introdujo el sistema de IoT de Cisco para ayudar a las organizaciones y las industrias a adoptar soluciones de IoT. Específicamente, el sistema de IoT de Cisco reduce la complejidad de digitalización para las organizaciones de manufactura, servicios públicos, petróleo y gas, transporte, minería, y del sector público.

El sistema de IoT proporciona una infraestructura diseñada para administrar sistemas a gran escala con terminales y plataformas muy diferentes, y la gran cantidad de datos que generan. El sistema de IoT de Cisco usa un conjunto de productos y tecnologías nuevos y existentes para reducir la complejidad de la digitalización.

El sistema de IoT de Cisco usa el concepto de pilares para identificar los elementos fundamentales. Específicamente, el sistema de IoT identifica los seis pilares tecnológicos que se muestran en la figura.

El pilar de la conectividad de red

Existen diferentes tipos de redes: redes domésticas, redes de Wi-Fi públicas, redes de empresas en crecimiento, redes empresariales, redes de proveedores de servicios, redes del centro de datos, redes en la nube, y redes de IoT. Sin importar el tipo de red, todos requieren de dispositivos que ofrezcan conectividad de red. Sin embargo, los equipos de conectividad de red varían según el tipo de red. Por ejemplo, las redes domésticas suelen estar compuestas por un router de banda ancha inalámbrico, mientras que las redes empresariales tienen varios switches, puntos de acceso, uno o varios firewalls, routers y demás.

El pilar de la conectividad de red de IoT de Cisco identifica los dispositivos que pueden usarse para proporcionar conectividad de IoT a muchas industrias y aplicaciones diferentes.

Haga clic en Reproducir en la figura para ver un video de cómo las empresas pueden usar la red para crear entornos interiores ideales. Con el techo digital de Cisco, la red puede administrar la iluminación y la temperatura del aire sin inconvenientes, según las preferencias de los ocupantes.

El pilar de computación en la niebla

Los modelos de red describen el flujo de datos de una red. Algunos modelos de red son:

·         Modelo cliente-servidor: (Figura 1) Este es el modelo más común de redes. Los dispositivos cliente solicitan servicios a los servidores.

·         Modelo de computación en la nube: (Figura 2) Este es un modelo más nuevo donde los servidores y los servicios están distribuidos a nivel global en centros de datos distribuidos. La computación en la nube se describe en más detalle más adelante en este capítulo.

·         Computación en la niebla: (Figura 3) Este modelo de red de IoT corresponde a una infraestructura informática distribuida más cercana al perímetro de la red. Permite que los dispositivos perimetrales ejecuten aplicaciones a nivel local y tomen decisiones de inmediato. Esto reduce la carga de datos en las redes, ya que los datos sin procesar no deben enviarse por las conexiones de red. Aumenta la resistencia al permitir que los dispositivos de IoT funcionen cuando se pierden las conexiones de red. También aumenta la seguridad al evitar que los datos sensibles se transporten más allá del perímetro donde se necesitan.

Estos modelos no son mutuamente excluyentes. Los administradores de redes pueden usar cualquier combinación de los tres modelos para satisfacer las necesidades de los usuarios de red. El pilar de computación en la niebla básicamente extiende la conectividad de la nube más cerca del perímetro. Permite que las terminales, como los medidores inteligentes, los sensores industriales, las máquinas robóticas y demás, se conecten a un sistema local integrado de computación, redes y almacenamiento.

Las aplicaciones que usan computación en la niebla pueden monitorear o analizar datos en tiempo real de los dispositivos conectados a la red y luego realizar acciones como cerrar una puerta, cambiar la configuración del equipo, aplicar los frenos de un tren y más. Por ejemplo, un semáforo puede interactuar localmente con varios sensores que detectan la presencia de peatones y ciclistas, y puede medir la distancia y la velocidad de los vehículos que se acercan. El semáforo también interactúa con los semáforos vecinos para proporcionar una acción coordinada. De acuerdo con esta información, el semáforo inteligente envía señales de advertencia a los vehículos que se aproximan y modifica su propio ciclo para prevenir accidentes. Los datos que obtuvo el sistema de semáforos inteligentes se procesan localmente para realizar análisis en tiempo real. La coordinación con los sistemas de semáforos inteligentes vecinos en la niebla permite implementar cualquier modificación en el ciclo. Por ejemplo, permite cambiar la sincronización de los ciclos en respuesta a las condiciones de la carretera o los patrones de tránsito. Los datos de clústeres de sistemas de semáforos inteligentes se envían a la nube para analizar los patrones de tránsito a largo plazo.

Cisco prevé que el 40 % de los datos creados por IoT se procesarán en la niebla para el año 2018.

El pilar de seguridad

Todas las redes deben protegerse. Sin embargo, IoT genera nuevos vectores de ataque que no suelen encontrarse en las redes empresariales normales. El pilar de seguridad de IoT de Cisco ofrece soluciones escalables de ciberseguridad que permiten que la organización pueda detectar, contener y corregir con rapidez y eficacia los ataques para minimizar el daño.

Algunas soluciones de ciberseguridad son:

·         Seguridad específica de tecnología operativa (OT): OT es el hardware y software que sirve para operar centrales eléctricas y administrar líneas de procesos industriales. La seguridad de OT incluye el dispositivo de seguridad industrial ISA 3000 (figura 1) y los servicios de datos en la niebla.

·         Seguridad de la red de IoT: Incluye los dispositivos de seguridad perimetral y de red como switches, routers, dispositivos de firewall de ASA y servicios de prevención de intrusiones de próxima generación Cisco FirePOWER (NGIPS) (figura 2).

·         Seguridad física d IoT: Cisco Video Surveillance IP Cameras (figura 3) son cámaras digitales con muchas funciones que permiten la vigilancia en una amplia variedad de entornos. Disponibles en versiones estándar y de alta definición, tipo caja o tipo domo, cableadas o inalámbricas, y fijas o con inclinación y zoom (PTZ), las cámaras son compatibles con MPEG-4 y H.264, y hacen un uso eficiente de la red al tiempo que proporcionan video de alta calidad.

Pilar de análisis de datos

IoT puede conectar miles de millones de dispositivos capaces de crear exabytes de datos cada día. Para proporcionar valor, estos datos se deben procesar y transformar rápidamente en inteligencia procesable.

La infraestructura de análisis de IoT de Cisco consta de componentes de infraestructura de red distribuida e interfaces de programación de aplicaciones (API) específicas para IoT.

Haga clic en Reproducir en la figura para ver un video sobre las soluciones de análisis de datos de Cisco.

Pilar de administración y automatización

IoT amplía significativamente el tamaño y la diversidad de la red para incluir los miles de millones de objetos inteligentes que detectan, monitorean, controlan y reaccionan. La conexión a la red de estos dispositivos que antes no estaban conectados puede ofrecer niveles incomparables de inteligencia empresarial y operativa, pero es esencial comprender que los entornos operativos están compuestos por áreas funcionales diversas y dispares. Cada una de estas áreas también tiene requisitos específicos, como la necesidad de hacer un seguimiento de métricas específicas. Los sistemas de tecnología operativa pueden variar ampliamente según la industria, así como también por la función que cumplen en un sector determinado.

Cisco ofrece una amplia gama de capacidades de administración y automatización de IoT en toda la red extendida. Los productos de administración y automatización de Cisco se pueden personalizar para usarse en industrias específicas a fin de obtener un nivel mejorado de seguridad, control y soporte.

El portafolio de administración y automatización de sistemas de IoT de Cisco incluye herramientas de administración como el director de red de campo de IoT de Cisco que se muestra en la figura. Otras herramientas de administración son Cisco Prime, Administrador de soluciones de videovigilancia Cisco y más.

Pilar de plataforma de habilitación de aplicaciones

El pilar de plataforma de habilitación de aplicaciones proporciona la infraestructura de alojamiento y movilidad de aplicaciones entre la nube y la computación en la niebla. El entorno en la niebla proporciona varias instancias de la aplicación para diversos sensores y terminales. Estas instancias pueden comunicarse entre sí para ejecutar funciones de redundancia e intercambio de datos que permiten crear modelos comerciales como pago según el consumo de objetos, máquinas y productos.

Por ejemplo, Cisco IOx, una combinación de Cisco IOS y Linux, permite que los routers alojen aplicaciones cerca de los objetos que necesitan monitorear, controlar, analizar y optimizar. Los servicios de Cisco IOx se ofrecen en varios dispositivos de hardware que se pueden personalizan en función de las diferentes necesidades del sector y, por lo tanto, pueden admitir aplicaciones específicas de dichos sectores.

Haga clic en Reproducir en la figura para ver una entrevista informal sobre Cisco IOx.

La nube: descripción general

La computación en la nube implica una gran cantidad de computadoras conectadas a través de una red que puede estar ubicada físicamente cualquier lugar. Los proveedores confían mucho en la virtualización para prestar servicios de computación en la nube. La computación en la nube puede reducir costos operativos al utilizar los recursos con mayor eficacia. La computación en la nube admite una variedad de problemas de administración de datos:

·         Permite el acceso a los datos de organización en cualquier momento y lugar.

·         Optimiza las operaciones de TI de la organización suscribiéndose únicamente a los servicios necesarios.

·         Elimina o reduce la necesidad de equipos, mantenimiento y administración de TI en las instalaciones.

·         Reduce el costo de equipos y energía, los requisitos físicos de la planta y las necesidades de capacitación del personal.

·         Permite respuestas rápidas a los crecientes requisitos de volumen de datos.

La computación en la nube, con su modelo de “pago según el consumo”, permite que las organizaciones consideren los gastos de computación y almacenamiento más como un servicio que como una inversión en infraestructura. Los gastos de capital se transforman en gastos operativos.

Servicios en la nube

Los servicios en la nube están disponibles en una variedad de opciones diseñadas para cumplir con los requisitos del cliente. Los tres servicios principales de computación en la nube definidos por el Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos en la Publicación especial 800-145 son:

·         Software como servicio (SaaS): El proveedor de la nube es responsable del acceso a los servicios, como correo electrónico, comunicaciones y Office 365, que se proporcionan por Internet. El usuario sólo necesita proporcionar sus datos.

·         Plataforma como servicio (PaaS): El proveedor de la nube es responsable del acceso a las herramientas y los servicios de desarrollo que se usan para proporcionar las aplicaciones.

·         Infraestructura como servicio (IaaS): El proveedor de la nube es responsable del acceso a los equipos de la red, los servicios de red virtualizados y el soporte de infraestructura de la red.

Como se ve en la figura, los proveedores de servicios en la nube han ampliado este modelo para proporcionar también soporte de TI para cada servicio de computación en la nube (ITaaS).

Para las empresas, ITaaS puede ampliar la capacidad de TI sin requerir inversiones en infraestructura nueva, capacitación de personal nuevo ni licencias de software nuevas. Estos servicios están disponibles a petición y se proporcionan de forma económica a cualquier dispositivo en cualquier lugar del mundo, sin comprometer la seguridad ni el funcionamiento.

Modelos de nube

Hay cuatro modos principales de la nube, como se muestra en la figura.

·         Nubes públicas: Las aplicaciones basadas en la nube y los servicios que se ofrecen en una nube pública están a disposición de la población en general. Los servicios pueden ser gratuitos u ofrecerse en el formato de pago según el uso, como el pago de almacenamiento en línea. La nube pública utiliza Internet para proporcionar servicios.

·         Nubes privadas: Las aplicaciones y los servicios basados en una nube privada que se ofrecen en una nube privada están destinados a una organización o una entidad específica, como el gobierno. Se puede configurar una nube privada utilizando la red privada de la organización, si bien el armado y el mantenimiento pueden ser costosos. Una organización externa que cuente con una seguridad de acceso estricta también puede administrar una nube privada.

·         Nubes híbridas: Una nube híbrida consta de dos o más nubes (por ejemplo, una parte personalizada y otra parte pública); donde cada una de las partes sigue siendo un objeto separado, pero ambas están conectadas a través de una única arquitectura. En una nube híbrida, las personas podrían tener grados de acceso a diversos servicios según los derechos de acceso de los usuarios.

·         Nubes comunitaria: Una nube comunitaria se crea para el uso exclusivo de una comunidad específica. Las diferencias entre nubes públicas y nubes comunitarias son las necesidades funcionales que se personalizan para la comunidad. Por ejemplo, las organizaciones de servicios de salud deben cumplir las políticas y leyes (p. ej., HIPAA, en los Estados Unidos) que requieren niveles de autenticación y confidencialidad especiales.

Computación en la nube frente al centro de datos

Los términos "centro de datos" y "computación en la nube" suelen usarse de manera incorrecta. A continuación se brindan las definiciones correctas de "centro de datos" y "computación en la nube":

·         Centro de datos: Generalmente, consiste en una instalación de almacenamiento y procesamiento de datos gestionada por un departamento de TI interno o arrendado fuera de las instalaciones.

·         Computación en la nube: Generalmente, consiste en un servicio fuera de las instalaciones que ofrece acceso a pedido a un grupo compartido de recursos informáticos configurables. Estos recursos se pueden aprovisionar y lanzar rápidamente con un esfuerzo de administración mínimo.

La computación en la nube es posible gracias a los centros de datos. Un centro de datos es una instalación utilizada para alojar sistemas de computación y componentes relacionados. Un centro de datos puede ocupar una habitación en un edificio, un piso o más, o un edificio entero. Por lo general, la creación y el mantenimiento de centros de datos son muy costosos. Por esta razón, solo las grandes organizaciones utilizan centros de datos privados creados para alojar sus datos y proporcionar servicios a los usuarios. Las organizaciones más pequeñas que no pueden mantener su propio centro de datos privado pueden reducir el costo total de propiedad mediante el arrendamiento de servicios de servidor y almacenamiento a una organización de centro de datos más grande en la nube.

La computación en la nube suele ser un servicio prestado por los centros de datos, como se muestra en la figura. Los proveedores de servicios en la nube usan los centros de datos para alojar los servicios en la nube y los recursos basados en la nube. Para garantizar la disponibilidad de los servicios de datos y los recursos, los proveedores mantienen a menudo espacio en varios centros de datos remotos.

Computación en la nube y virtualización

Los términos "computación en la nube" y "virtualización" suelen usarse de manera intercambiable; no obstante, significan dos cosas distintas. La virtualización es la base de la computación en la nube. Sin esta base, la computación en la nube que se implementa masivamente no sería posible.

La computación en la nube separa la aplicación del hardware. La virtualización separa el SO hardware. Varios proveedores ofrecen servicios virtuales en la nube que permiten aprovisionar servidores de manera dinámica según sea necesario. Por ejemplo, el servicio web en la nube Amazon Elastic Compute Cloud (Amazon EC2) proporciona a los clientes una manera simple de aprovisionar dinámicamente los recursos informáticos que necesitan. Estas instancias virtualizadas de los servidores se crean a pedido en el EC2 de Amazon.

Servidores dedicados

Para poder apreciar completamente la virtualización, primero es necesario entender un poco parte la historia de la tecnología de los servidores. Antes, los servidores empresariales estaban formados por un sistema operativo (SO) de servidor, como Windows Server o Linux Server, instalado en hardware específico, como se ve en la figura. Toda la RAM, la potencia de procesamiento y todo el espacio del disco duro de un servidor se dedicaban al servicio proporcionado (por ejemplo, red, servicios de correo electrónico, etc.).

El principal problema con esta configuración es que cuando falla un componente, el servicio proporcionado por este servidor no se encuentra disponible. Esto se conoce como punto único de falla. Otro problema era que los servidores dedicados eran infrautilizados. A menudo, los servidores dedicados estaban inactivos durante largos períodos de tiempo, esperando hasta que hubiera una necesidad de ofrecer un servicio específico que estos proporcionaban. Estos servidores malgastaban energía y ocupaban más espacio del que estaba garantizado por la cantidad de servicio. Esto se conoce como proliferación de servidores.

Virtualización de servidores

La virtualización de servidores saca provecho de los recursos inactivos y consolida el número de servidores requeridos. Esto también permite que múltiples sistemas operativos existan en una sola plataforma de hardware.

Por ejemplo, en la figura, los ocho servidores dedicados anteriores se consolidaron en dos servidores con hipervisores para admitir varias instancias virtuales de los sistemas operativos.

El hipervisor es un programa, un firmware o un hardware que suma una capa de abstracción a la parte superior del hardware físico real. La capa de abstracción se utiliza para crear máquinas virtuales que tienen acceso a todo el hardware de la máquina física, como CPU, memoria, controladores de disco y NIC. Cada una de esas máquinas virtuales ejecuta un sistema operativo completo y separado. Con la virtualización, las empresas ahora pueden consolidar la cantidad de servidores necesarios. Por ejemplo, no resulta raro que 100 servidores físicos se consoliden como máquinas virtuales sobre 10 servidores físicos que usan hipervisores.

El uso de la virtualización normalmente incluye redundancia para brindar protección desde un punto sencillo de falla. La redundancia se puede implementar de diferentes maneras. Si falla el hipervisor, se puede reiniciar la VM en otro hipervisor. Además, la misma VM se puede ejecutar en dos hipervisores simultáneamente copiando las instrucciones de RAM y de CPU entre estos. Si falla un hipervisor, la VM continúa ejecutándose en el otro supervisor. Los servicios que se ejecutan en las VM también son virtuales y se pueden instalar o deshabilitar dinámicamente, según sea necesario.

Ventajas de la virtualización

Una de las ventajas más importantes de la virtualización es un menor costo total:

·         Menos cantidad de equipos necesarios: La virtualización permite la consolidación de servidores, lo que reduce la cantidad necesaria de servidores físicos, dispositivos de red e infraestructura de soporte. También significa menores costos de mantenimiento.

·         Menor consumo de energía: La consolidación de servidores reduce los costos mensuales de alimentación y refrigeración. El consumo reducido ayuda a las empresas a alcanzar una huella de carbono más pequeña.

·         Menos espacio necesario: La consolidación de servidores con virtualización reduce la huella total del centro de datos. Menos servidores, dispositivos de red y racks reducen la cantidad de espacio de piso requerido.

Estos son los beneficios adicionales de la virtualización:

·         Simplificación de prototipos: Se pueden crear rápidamente laboratorios autónomos que operan en redes aisladas para las pruebas y los prototipos de instalaciones de red. Si se comete un error, un administrador puede volver simplemente a una versión anterior. Los entornos de prueba pueden estar en línea, pero deben estar aislados de los usuarios finales. Una vez terminadas las pruebas, los servidores y sistemas pueden implementarse para los usuarios finales.

·         Aprovisionamiento acelerado de servidores: La creación de servidores virtuales es mucho más rápida que el aprovisionamiento de servidores físicos.

·         Mayor tiempo de actividad de servidores: La mayoría de las plataformas de virtualización de servidores actuales ofrecen funciones avanzadas y redundantes de tolerancia a fallas, como migración en vivo, migración de almacenamiento, alta disponibilidad y planificación de recursos distribuidos.

·         Recuperación tras un desastre mejorada: La virtualización ofrece soluciones avanzadas de continuidad de los negocios. Brinda la capacidad de abstracción de hardware de modo que el sitio de recuperación ya no necesite tener hardware que sea idéntico al hardware del entorno de producción. La mayoría de las plataformas de virtualización de servidores de la empresa también tienen software que puede ayudar a probar y automatizar las fallas antes de que suceda un desastre.

·         Soporte de tecnologías heredadas: La virtualización puede ampliar la vida útil de los SO y las aplicaciones, para que las organizaciones tengan más tiempo para migrarse a soluciones más nuevas.

Capas de abstracción

Para ayudar a explicar cómo funciona la virtualización, es conveniente utilizar capas de abstracción en arquitecturas de PC. Un sistema de computación consta de las capas de abstracción siguientes, como se muestra en la Figura 1:

·         Servicios

·         SO

·         Firmware

·         Avanzado

En cada una de estas capas de abstracción, se utiliza algún tipo de código de programación como interfaz entre la capa inferior y la capa superior. Por ejemplo, el lenguaje de programación C suele usarse para programar el firmware que tiene acceso al hardware.

En la Figura 2, se muestra un ejemplo de virtualización. Un hipervisor se instala entre el firmware y el OS. El hipervisor puede admitir varias instancias de SO.

Hipervisores de tipo 2

Un hipervisor es un software que crea y ejecuta instancias de VM. La computadora, en la que un hipervisor está ejecutando una o más VM, es un equipo host. Los hipervisores de tipo 2 también se denominan hipervisores alojados. Esto se debe a que el hipervisor está instalado sobre el SO existente, como Mac OS X, Windows o Linux. Luego, una o más instancias adicionales de SO se instalan sobre el hipervisor, como se muestra en la figura.

Una gran ventaja de los hipervisores de tipo 2 es que el software de la consola de administración no es necesario.

Los hipervisores de tipo 2 son muy populares entre los consumidores y en las organizaciones que experimentan con la virtualización. Los hipervisores comunes de tipo 2 incluyen:

·         Virtual PC

·         VMware Workstation

·         Oracle VM VirtualBox

·         VMware Fusion

·         Mac OS X Parallels

Muchos de estos hipervisores de tipo 2 son gratuitos. Algunos ofrecen funciones más avanzadas mediante el pago de una cuota.

Nota: Es importante asegurarse de que la máquina de host sea lo suficientemente resistente como para instalar y ejecutar las VM, a fin de evitar que se agoten los recursos.

La figura muestra un hipervisor de tipo 2, el enfoque de host. El servidor está compuesto por una capa de hardware, sobre esta capa está el sistema operativo del host, sobre ésta está el hipervisor y luego están los tres sistemas operativos que se muestran: Windows, Linux y UNIX.

Hipervisores de tipo 1

Los hipervisores de tipo 1 también se denominan el enfoque de “infraestructura física” porque el hipervisor está instalado directamente en el hardware. Los hipervisores de tipo 1 se usan generalmente en los servidores empresariales y los dispositivos de redes para centros de datos.

Con los hipervisores de tipo 1, el hipervisor se instala directamente en el servidor o en el hardware de red. Luego, las instancias de SO se instalan sobre el hipervisor, como se muestra en la figura. Los hipervisores de tipo 1 tienen acceso directo a los recursos de hardware; por lo tanto, son más eficaces que las arquitecturas alojadas. Los hipervisores de tipo 1 mejoran la escalabilidad, el rendimiento y la solidez.

Instalación de una VM en un hipervisor

Cuando se instala un hipervisor de tipo 1 y se reinicia el servidor, sólo se muestra la información básica, como la versión de SO, la cantidad de RAM y la dirección IP. Una instancia de OS no se puede crear a partir de esta pantalla. Los hipervisores de tipo 1 requieren una “consola de administración” para administrar el hipervisor. El software de administración se utiliza para administrar varios servidores con el mismo hipervisor. La consola de administración puede consolidar los servidores automáticamente y encender o apagar los servidores, según sea necesario.

Por ejemplo, supongamos que el Servidor 1 de la figura se está quedando sin recursos. Para hacer que haya más recursos disponibles, la consola de administración mueve la instancia de Windows al hipervisor en el Servidor2.

La consola de administración proporciona la recuperación ante las fallas de hardware. Si falla un componente del servidor, la consola de administración mueve la VM a otro servidor automáticamente y sin inconvenientes. La consola de administración de Cisco Unified Computing System (UCS) se muestra en la figura 2. Cisco UCS Manager permite administrar todos los componentes de sofftware y hardware de Cisco UCS. Controla varios servidores y administra los recursos de miles de VM.

Algunas consolas de administración también permiten la sobreasignación. La sobreasignación se produce cuando se instalan varias instancias de SO, pero su asignación de memoria excede la cantidad total de memoria que tiene un servidor. Por ejemplo, un servidor tiene 16 GB de RAM, pero el administrador crea cuatro instancias de SO con 10 GB de RAM asignadas a cada una. Este tipo de asignación excesiva es habitual porque las cuatro instancias de SO requieren raramente los 10 GB completo de RAM en todo momento.

Virtualización de la red

La virtualización del servidor oculta los recursos del servidor (por ejemplo, la cantidad y la identidad de los servidores físicos, de los procesadores y del SO) de los usuarios del servidor. Esta práctica puede crear problemas si el centro de datos está utilizando las arquitecturas de red tradicionales.

Por ejemplo, las LAN virtuales (VLAN) utilizadas por las VM se deben asignar al mismo puerto de switch que el servidor físico que ejecuta el hipervisor. Sin embargo, las VM son trasladables, y el administrador de la red debe poder agregar, descartar y cambiar los recursos y los de la red. Este proceso es difícil de hacer con los switches de red tradicionales.

Otro problema es que los flujos de tráfico difieren considerablemente del modelo cliente-servidor tradicional. Generalmente, un centro de datos tiene una cantidad considerable de tráfico que se intercambia entre los servidores virtuales (denominado "tráfico entre nodos"). Estos flujos cambian en la ubicación y la intensidad en el tiempo, lo que requiere un enfoque flexible a la administración de recursos de red.

Las infraestructuras de red existentes pueden responder a los requisitos cambiantes relacionados con la administración de los flujos de tráfico utilizando las configuraciones de calidad de servicio (QoS) y de ajustes de nivel de seguridad para los flujos individuales. Sin embargo, en empresas grandes que utilizan equipos de varios proveedores, cada vez que se activa una nueva VM, la reconfiguración necesaria puede llevar mucho tiempo.

¿Podría la infraestructura de red también beneficiarse de la virtualización? Si esto es así, ¿de qué manera podría hacerlo?

La respuesta está en la manera en que los dispositivos de red funcionan con un plano de datos y un plano de control, como se describe más adelante en este capítulo.

Plano de control y plano de datos

Un dispositivo de red contiene los siguientes planos:

·         Plano de control: Suele considerarse el cerebro del dispositivo. Se utiliza para tomar decisiones de reenvío. El plano de control contiene los mecanismos de reenvío de ruta de capa 2 y capa 3, como las tablas de vecinos de protocolo de routing y las tablas de topología, las tablas de routing IPv4 e IPv6, STP, y la tabla ARP. La información que se envía al plano de control es procesada por la CPU.

·         Plano de datos: También conocido como plano de reenvío, este plano suele ser la estructura de switch que conecta lo varios puertos de red de un dispositivo. El plano de datos de cada dispositivo se utiliza para reenviar los flujos de tráfico. Los routers y los switches utilizan la información del plano de control para reenviar el tráfico entrante desde la interfaz de egreso correspondiente. Por lo general, la información del plano de datos es procesada por un procesador especial del plano de datos, como un procesador de señal digital (DSP) sin que se involucre a la CPU.

El ejemplo de la figura 1 muestra cómo Cisco Express Forwarding (CEF) usa el plano de control y el plano de datos para procesar los paquetes.

CEF es una tecnología de switching de IP de capa 3 que permite que el reenvío de los paquetes ocurra en el plano de datos sin que se consulte el plano de control. En CEF, la tabla de routing del plano de control rellena previamente la tabla de base de información de reenvío (FIB) de CEF en el plano de datos. La tabla de ARP del plano de control se completa con la tabla de adyacencia. Luego el plano de datos reenvía directamente los paquetes en función de la información del FIB y la tabla de adyacencia, sin necesidad de consultar la información del plano de control.

Para virtualizar la red, un controlador centralizado realiza y elimina la función del plano de control de cada dispositivo, como se muestra en la Figura 2. El controlador centralizado comunica las funciones del plano de control a cada dispositivo. Cada dispositivo ahora puede enfocarse en el envío de datos mientras el controlador centralizado administra el flujo de datos, mejora la seguridad y proporciona otros servicios.

Virtualización de red

Hace más de una década, VMware desarrolló una tecnología de virtualización que permitía a un SO host admitir uno o más SO clientes. La mayoría de las tecnologías de virtualización ahora se basan en esta tecnología. La transformación de los servidores exclusivos para los servidores virtualizados se ha adoptado y se implementa rápidamente en el centro de datos y las redes empresariales.

Se han desarrollado dos arquitecturas de red principales para admitir la virtualización de la red:

·         Redes definidas por software (SDN): una arquitectura de red definida por software que virtualiza la red.

·         Infraestructura centrada en aplicaciones (ACI) de Cisco: Solución de hardware diseñada específicamente para integrar la computación en la nube con la administración de centros de datos.

Estas son otras tecnologías de virtualización de redes, incluyen algunas de las cuales se incluyen como componentes en SDN y ACI:

·         OpenFlow: Este enfoque se desarrolló en la Universidad de Stanford para administrar el tráfico entre routers, switches, puntos de acceso inalámbrico y un controlador. El protocolo OpenFlow es un elemento básico en el desarrollo de soluciones de SDN. Haga clic aquí para obtener más información sobre OpenFlow.

·         OpenStack: Este enfoque es una plataforma de virtualización y coordinación disponible para armar entornos escalables en la nube y proporcionar una solución de infraestructura como servicio (IaaS). OpenStack se usa frecuentemente en conjunto con Cisco ACI. La organización en la red es el proceso para automatizar el aprovisionamiento de los componentes de red como servidores, almacenamiento, switches, routers y aplicaciones. Haga clic aquí para obtener más información sobre OpenStack.

·         Otros componentes: Otros componentes incluyen la interfaz al sistema de routing (I2RS), la interconexión transparente de muchos enlaces (TRILL), Cisco FabricPath (FP) y los puentes de ruta más corta (SPB) de IEEE 802.1aq.

Arquitectura de SDN

En un router o una arquitectura de switches tradicionales, el plano de control y las funciones del plano de datos se producen en el mismo dispositivo. Las decisiones de routing y el envío de paquetes son responsabilidad del sistema operativo del dispositivo.

Las redes definidas por software (SDN) son una arquitectura de red que se desarrolló para virtualizar la red. Por ejemplo, las SDN pueden virtualizar el plano de control. También conocidas como SDN basadas en controladores, las SDN mueven el plano de control desde cada dispositivo de red a una inteligencia de la red central y una entidad de las políticas fabricación denominada controlador de SDN. Las dos arquitecturas se muestran en la Figura 1.

El controlador de SDN es una entidad lógica que permite que los administradores de red administren y determinen cómo el plano de datos de switches físicos y virtuales de los routers debe administrar el tráfico de red. Coordina, media y facilita la comunicación entre las aplicaciones y los elementos de red.

El marco de SDN se ilustra en la Figura 2. Observe el uso de interfaces de programación de aplicaciones (API) dentro del marco de SDN. Una API es un conjunto de solicitudes estandarizadas que definen la forma adecuada para que una aplicación solicite servicios de otra aplicación. El controlador de SDN usa los API ascendentes para comunicarse con las aplicaciones ascendentes. Estos administradores de red de ayuda de API forman el tráfico e implementan los servicios. El controlador de SDN también utiliza interfaces API descendentes para definir el comportamiento de los switches y routers virtuales descendentes. OpenFlow es la API original descendente ampliamente implementada. Open Networking Foundation es responsable de mantener el estándar de OpenFlow.

Nota: El tráfico en un centro de datos moderno se describe como (en sentido) vertical (que se produce entre los usuarios del centro de datos externos y los servidores del centro de datos) y (en sentido) transversal (que se produce entre los servidores del centro de datos).

Visite este sitio web para obtener más información sobre SDN, OpenFlow y Open Networking Foundation: https://www.opennetworking.org/sdn-resources/sdn-definition

Operaciones y controlador SDN

El controlador de SDN define los flujos de datos que ocurren en el flujo de datos de las SDN. Un flujo es una secuencia de paquetes que atraviesan una red que comparten un conjunto de valores de campo del encabezado. Por ejemplo, un flujo puede consistir en todos los paquetes con las mismas direcciones IP de origen y de destino, o todos los paquetes con el mismo identificador de VLAN.

Cada flujo que viaja por la red debe primero obtener permiso del controlador SDN, que verifica que la comunicación esté permitida según la política de red. Si el controlador permite un flujo, calcula una ruta para que tome el flujo y agrega una entrada para ese flujo en cada uno de los switches que están a lo largo de la ruta.

El controlador realiza todas las funciones complejas. El controlador completa las tablas de flujo. Los switches administran las tablas de flujo. En la figura, un controlador SDN se comunica con los switches compatibles con OpenFlow con el protocolo OpenFlow. Este protocolo utiliza Transport Layer Security (TLS) para enviar de manera segura las comunicaciones del plano de control a través de la red. Cada switch de OpenFlow se conecta con otros switches de OpenFlow. También pueden conectarse a los dispositivos de usuarios finales que forman parte de un flujo de paquetes.

Dentro de cada switch, se utiliza una serie de tablas implementadas en el hardware o el firmware para administrar flujos de paquetes a través del switch. Para el switch, un flujo es una secuencia de paquetes que coincide con una entrada específica en una tabla de flujo.

Infraestructura centrada en aplicaciones de Cisco

Muy pocas organizaciones tienen realmente el deseo o las habilidades para programar la red utilizando las herramientas de SDN. Sin embargo, la mayoría de las organizaciones desea automatizar la red, acelerar la implementación de aplicaciones y alinear sus infraestructuras de TI para cumplir mejor con los requisitos empresariales. Cisco desarrolló la Infraestructura centrada en aplicaciones (ACI) para alcanzar los siguientes objetivos de maneras más avanzadas y más innovadoras que antes los enfoques de SDN.

ACI es una arquitectura de red de centro de datos desarrollada por Insieme y adquirida por Cisco en 2013. Cisco ACI es una solución de hardware diseñada específicamente para integrar la computación en la nube con la administración de centros de datos. En un nivel alto, el elemento de políticas de la red se elimina del plano de datos. Esto simplifica el modo en que se crean redes del centro de datos.

Para obtener más información sobre las diferencias entre SDN y ACI: http://blogs.cisco.com/datacenter/is-aci-really-sdn-one-point-of-view-to-clarify-the-conversation

Haga clic en Reproducir en la figura para ver una descripción general de los aspectos básicos de ACI.

Componentes principales de ACI

Estos son los tres componentes principales de la arquitectura de ACI:

·         Perfil de aplicación de red (ANP): Un ANP es una colección de grupos de terminales (EPG) con sus conexiones y las políticas que definen dichas conexiones. Los EPG que se muestran en la figura, como VLAN, servicios web y aplicaciones, son solo ejemplos. Un ANP es con frecuencia mucho más complejo.

·         Controlador de infraestructura de política de aplicación (APIC): El APIC se considera el cerebro de la arquitectura de ACI. El APIC es un controlador centralizado de software que administra y opera una estructura agrupada ACI escalable. Está diseñado para la programabilidad y la administración centralizada. Traduce las políticas de las aplicaciones a la programación de la red.

·         Switches de la serie 9000 de Cisco Nexus: Estos switches proporcionan una estructura de switching con reconocimiento de aplicaciones y operan con un APIC para administrar la infraestructura virtual y física de la red.

Como se muestra en la ilustración, el APIC se ubica entre el APN y la infraestructura de red habilitada con ACI. El APIC traduce los requisitos de aplicaciones a una configuración de red para cumplir con esas necesidades.

opología de nodo principal-nodo secundario

La estructura Cisco ACI está compuesta por la APIC y los switches de la serie 9000 de Cisco Nexus mediante topología de nodo principal y secundario de dos niveles, como se muestra en la figura. Los switches de nodo secundario siempre se adjuntan a los nodos principales, pero nunca se adjuntan entre sí. De manera similar, los switches principales solo se adjuntan a la hoja y a los switches de núcleo (no se muestran). En esta topología de dos niveles, todo está a un salto de todo lo demás.

Los APIC de Cisco y todos los demás dispositivos de la red se adjuntan físicamente a los switches de nodo secundario.

En comparación con una SDN, el controlador de APIC no manipula la ruta de datos directamente. En cambio, el APIC centraliza la definición de políticas y programas a los que cambia el nodo secundario para reenviar tráfico según las políticas definidas.

Para la virtualización, la ACI es compatible con entornos de varios proveedores de hipervisor que se conectarían a los switches secundarios, incluidos los siguientes:

·         Microsoft (Hyper-V/SCVMM/Azure Pack)

·         Red Hat Enterprise Linux OS (KVM OVS/OpenStack)

·         VMware (ESX/vCenter/vShield)

Tipos de SDN

El Módulo empresarial del Controlador de infraestructura de política de aplicación (APIC-EM) de Cisco amplía las capacidades de ACI para las instalaciones empresariales y de campus. Para entender mejor APIC-EM, es útil obtener una perspectiva más amplia de los tres tipos de SDN:

·         SDN basada en dispositivos: En este tipo de SDN, los dispositivos se programan con aplicaciones que se ejecutan en el mismo dispositivo o en un servidor de la red, como se ve en la figura 1. Cisco OnePK es un ejemplo de un SDN basado en dispositivos. Permite que los programadores creen aplicaciones utilizando C y a Java con Python para integrar e interactuar con los dispositivos Cisco.

·         SDN basada en controlador: Este tipo de SDN usa un controlador centralizado que tiene conocimiento de todos los dispositivos de la red, como se ve en la figura 2. Las aplicaciones pueden interactuar con el controlador responsable de administrar los dispositivos y de manipular los flujos de tráfico en la red. El controlador SDN Cisco Open es una distribución comercial de Open Daylight.

·         SDN basada en políticas: Este tipo de SDN es parecido al SDN basado en controlador, ya que un controlador centralizado tiene una vista de todos los dispositivos de la red, como se ve en la figura 3. El SDN basado en políticas incluye una capa de políticas adicional que funciona a un nivel de abstracción mayor. Usa aplicaciones incorporadas que automatizan las tareas de configuración avanzadas mediante un flujo de trabajo guiado y una GUI fácil de usar. No se necesitan conocimientos de programación. Cisco APIC-EM es un ejemplo de este tipo de SDN.

Características APIC-EM

Cada tipo de SDN tiene sus propias características y ventajas. Las SDN basadas en políticas son las más resistentes, lo que proporciona un mecanismo simple para controlar y administrar políticas en toda la red. Cisco APIC-EM proporciona las siguientes funciones:

·         Detección: La función de detección sirve para completar la base de datos de inventario de dispositivos y host del controlador.

·         Inventario de dispositivos: Recopila información detallada de los dispositivos de la red, incluidos el nombre del dispositivo, el estado del dispositivo, la dirección MAC, las direcciones IPv4/IPv6, IOS/firmware, la plataforma, el tiempo de actividad y la configuración.

·         Inventario de host: Recopila información detallada de los hosts de la red, incluidos el nombre del host, la ID de usuario, la dirección MAC, las direcciones IPv4/IPv6 y el punto de conexión de red.

·         Topología: Presenta una vista gráfica de la red (vista de la topología). Cisco APIC-EM detecta automáticamente y asigna dispositivos a una topología física con datos detallados de nivel del dispositivo. Además, la visualización automática de las topologías de capa 2 y 3 sobre la topología física proporciona una vista detallada para la planificación de diseño y la solución de problemas simplificada. La figura muestra un ejemplo de vista de la topología generada por APIC-EM de Cisco.

·         Política: Capacidad de ver y controlar las políticas en toda la red, incluida la QoS.

·         Análisis de políticas: Inspección y análisis de políticas de control de acceso a la red. Capacidad de rastrear las rutas específicas de la aplicación entre los terminales para identificar rápidamente las ACL en uso y las áreas problemáticas. Habilita la administración de cambios de permisos mediante ACL con una identificación más sencilla de la redundancia, los conflictos y el ordenamiento incorrecto de las entradas de control de acceso. Las entradas de ACL incorrectas se conocen como sombras.

Haga clic aquí para obtener más información sobre los aspectos básicos de APIC-EM de Cisco.

Agregue la transcripción de medios

Análisis de APIC-EM ACL

Una de las funciones más importantes del controlador APIC-EM es la capacidad de administrar políticas en toda la red. Las políticas operan en un nivel de abstracción más alto. La configuración de dispositivos tradicional se aplica de a un dispositivo por la vez, mientras que las políticas de SDN se aplican a toda la red.

El análisis y el seguimiento de ruta de APIC-EM ACL proporcionan herramientas para permitir que el administrador analice y comprenda las políticas y las configuraciones de las ACL. Crear nuevas ACL o editar las ACL existentes a través de la red para implementar una nueva política de seguridad puede ser desafiante. Los administradores son reticentes a cambiar las ACL por miedo a romperlos y a causar nuevos problemas. El análisis y el seguimiento de ruta de las ACL permiten que el administrador visualice fácilmente flujos de tráfico y descubra las entradas de ACL conflictivas, duplicadas o sombreadas.

APIC-EM proporciona las siguientes herramientas para solucionar problemas en las entradas de las ACL:

·         Análisis de ACL: Esta herramienta examina las ACL de los dispositivos en busca de entradas redundantes, conflictivas o superpuestas. El análisis de las ACL permite el examen y la interrogación de las ACL en toda la red y expone los inconvenientes y los conflictos. En la Figura 1, se muestra una pantalla de ejemplo de esta herramienta.

·         Rastreo de ruta de ACL: Esta herramienta examina las ACL específicas de la ruta entre los dos nodos terminales y muestra los posibles problemas. En la Figura 2, se muestra una pantalla de ejemplo de esta herramienta.

Para obtener más información sobre el análisis de ACL y el rastreo de ruta de ACL, mire este video: https://www.youtube.com/watch?v=-acUj5PVFLU