SDWAN parte II
En el capítulo anterior definimos SDWAN, vimos a nivel de definición cómo con reglas gatilladas por software podemos orquestar comunicaciones más eficientes, así como también analizamos el ROI o retorno de inversión de un proyecto.
Hoy veremos como funciona SDWAN desde un punto de vista técnico y analizaremos un setup básico apoyados en la solución SDWAN de Cisco Meraki la cual por medio de su dashboard nos permite abordar la tecnología de manera didáctica.
SDWAN
En términos simples, SDWAN no es otra cosa más que túneles VPN los cuales son generados y orquestados de manera automática y dinámica por el controlador, quien a su vez le agrega valor por medio de la utilización de componentes de software que apuntan a inferir la latencia, la fluctuación de fase y la pérdida de paquetes de rutas virtuales.
Túnel VPN clásico
Basados en la imagen de apoyo, vamos a suponer que se requiere levantar un túnel VPN entre dos redes distintas con objeto de que la LAN A acceda a los servicios de la LAN B y viceversa.
Antes de iniciar el trabajo de configuración, el equipo que realizará el setup en los firewall de las LAN A y B debe acordar valores y parámetros los cuales deberán ser conocidos por ambos. Para este ejemplo han acordado lo siguientes parámetros:
Phase 1
Encryption: 3DES
Authentication: SHA1
Diffie-Hellman group: 2
Lifetime (seconds): 28800
Phase 2
Encryption: ADES256, ADES192, ADES128, 3DES
Authentication: SHA1, MD5
PFS group: off
Lifetime (seconds): 28800
IP pública local: A.B.C.D
IP pública remota: X.Y.Z.W
Clave compartida: Clav3***c0mpartida+++
Una vez configurados todos estos parámetros y asumiendo que no se cometen errores, el túnel se levantará y quedará operativo.
Si bien el análisis de estos parámetros no forman parte del alcance de este video, vale la pena reparar en el siguiente punto:
Los parámetros relativos a las IP’s públicas de los puntos local y remoto son fundamentales, por ende dichas IP’s deben ser fijas.
Desafortunadamente los accesos a internet que entregan IP’s públicas fijas por lo general son accesos de tipo dedicado, es decir accesos caros, por lo tanto levantar túneles tipo “site to site” sobre enlaces con IP’s dinámicas no es precisamente algo recomendable.
Con SDWAN toda esta problemática es orquestada por el controlador el cual se encarga de levantar los túneles, independientemente de si la IP pública es fija, dinámica, nateada (por estar detrás del router ó modem de un proveedor), etc.
Ya entendiendo que el primer paso el cual corresponde al armado de túneles es una función del controlador de SDWAN, vamos a pasar a implementar una red SDWAN para nuestro cliente Local corp, apoyados en la tecnología de Cisco Meraki.
Para simplificar el ejemplo, tomaremos solo 3 sucursales ubicadas en regiones, casa matriz donde residen algunos de los sistemas de local corp y un datacenter, el cual puede ser el clásico datacenter de una Telco ó un servicio de cloud público. Al mismo tiempo y si bien una solución sobre MPLS es perfectamente viable, es bastante mas compleja que sobre internet por lo cual asumiremos que todos los accesos (aunque diversos en su tipo) son accesos a internet.
En este ejemplo, local corp cuenta con dos accesos dedicados a Internet en su casa matriz, uno provisto por la telco A y el segundo por la telco B.
En el datacenter (Amazon para este ejemplo), un VPC donde residen varios de sus servicios sobre máquinas virtuales.
Para las sucursales y dado que ninguna de ella supera los 50 usuarios por sede, se ha optado por 2 accesos ADSL tipo hogar, cada uno de ellos provisto por un operador distinto.
Por último, para la faena la cual no cuenta ni siquiera con cobertura 4G, optaremos por un acceso de Internet satelital de alta velocidad, sin respaldo.
En este setup, nuestra casa matriz será el HUB o concentrador de esta red SDWAN
Las sucursales y el datacenter los spokes o puntos remotos.
Una vez definidos lo roles en el controlador, este levantará los túneles de manera automática.
A través de la consola de Cisco Meraki, armaremos nuestro primer SDWAN tomando como ejemplo la LAN de la casa matriz y la LAN 3 que es nuestra faena.
Tengan en mente el direccionamiento IP definido para cada uno de estos sitios.
- 172.16.0.0 /24 para casa matriz
- 172.16.3.0/24 para la LAN3
Importante es que toda la configuración no se realiza sobre los equipos sino en la nube, siendo esta misma quien se encargue de enviar los cambios realizados a los equipos una vez que guardemos la configuración.
Dentro de la organización Local Corp, tenemos hasta ahora 2 redes, una para la casa matriz la cual será nuestro hub y otra para LAN 3, nuestra faena.
Lo primero que haremos será cambiar el direccionamiento IP que viene definido por default al direccionamiento IP acordado, esto tanto para la LAN como para el UTM.
A continuación pasamos a definir un HUB para esta organización el cual será nuestra casa matriz. Lo que sigue es definir los spoke que apuntarán al hub. Seleccionamos y agregamos un hub (- puede haber mas de 1 hub -).
Con esto ya tenemos lista la primera parte de nuestra red SDWAN, los túneles.
Ahora trabajemos políticas y funciones de traffic shaping.
Lo primero, debo indicar el ancho de banda real (o ancho de banda contratado) que tienen los puertos WAN1 y WAN2, de esta forma los equipos UTM no intentarán empujar el tráfico más allá del límite conocido. En este ejemplo la WAN1 tendrá un ancho de banda de 100 megas y la WAN2 50.
Bajo Uplink selection definiremos cuál de los enlaces será el primario. En esta misma sección puedo habilitar el balanceo de carga entre ambos enlaces así como habilitar túneles por ambos enlaces.
A continuación bajo SDWAN policies configuraremos políticas de tráfico.
Lo primero que haremos será dar prioridad al tráfico de voz sobre IP y video conferencia, indicando que utilice el enlace que esté en mejores condiciones de ancho de banda.
De la misma forma y dado que Local corp utiliza G suite como plataforma de correo electrónico y ofimática, formaremos este tráfico a utilizan la WAN 1
Para terminar, forzaremos a que el tráfico relacionado con redes sociales utilice el enlace de la WAN 2.
Por último y ya con nuestra red SDWAN operando, en esta imagen vemos como el hub o concentrador el cual tiene 2 enlaces conectados, nos muestra en tiempo real la utilización de los anchos de banda de los enlaces, pérdidas de paquete y performance en general.
Comments are closed