482253443La puesta a punto de un sistema requiere forzosamente conocer lo que sucede en su interior; Es imposible ajustar, por ejemplo, un motor de combustión, sin información detallada de revoluciones, temperatura, compresión… Esta información al detalle en tiempo real es fundamental en cualquier sistema, ya hablemos de tráfico aéreo, de nuestro organismo (considerado como un sistema), o de Smart Grid.

En redes IP, esta información en tiempo real suele denominarse“visibilidad”, y es vital para garantizar el correcto funcionamiento y dimensionamiento de redes y sistemas, así como para diagnosticar problemas. Por ejemplo, para comprobar si los enlaces o nodos de comunicaciones se saturan en situaciones de picos de tráfico o casos más complejos como detectar tráfico anómalo debidos a virus, gusanos u otros ataques.

Para obtener “visibilidad” de una red IP es necesario que los sistemas remotos (routers, switches o sondas) reporten información del tráfico en tiempo real, analizando paquetes para detectar sesiones de nivel 3 y 4, contabilizando estadísticos por sesión y enviándolos periódicamente a una máquina receptora (colectora). Esta funcionalidad recibe diversos nombres según el fabricante (Netflow en routers Cisco, Rflow en Ericsson, NetStream en 3Com/HP/Huawei…); todas compatibles y normalmente conocidas como Netflow (no confundir con SFlow, similar en concepción pero que analizando una porción del tráfico total y sin clasificación de tráfico en flujos se orienta únicamente a estadísticos).

La última versión de Netflow (la 9), proporciona una completa información de cada sesión, permitiendo exportar hasta 71 parámetros distintos por cada flujo (bytes, paquetes, direcciones, protocolo, TOS, Interfaces, Sistema Autónomo, siguiente salto, VLANs,…).

Con objeto de estandarizar y mejorar Netflow, el IETF publica en 2008 la primera versión del protocolo estándar IPFIX (IP flow Information Export). IPFIX es básicamente Netflow “con extensiones”, que manteniendo la esencia del protocolo y el formato de información de Netflow (IPFIX se considera también Netflow v.10), amplía la información exportable permitiendo a cada implementación exportar parámetros propietarios. De esta forma, con IPFIX se abre a un mundo de posibilidades. Por ejemplo:

* Servidores de correo que exportan información sobre direcciones email origen/destino, asunto, adjuntos, bytes.

* Servidores de páginas web que exportan información sobre páginas consultadas, tiempo de navegación por página, países desde los que se accede a cada página, etc.

Pero volvamos a las redes IP. Netflow proporciona visibilidad hasta nivel 3 y 4 (puertos y protocolos), mientras que la extensibilidad de IPFIX permite potencialmente ir más lejos, proporcionando información sobre las aplicaciones en base a técnicas de Inspección Profunda de Paquetes o DPI (Deep Packet Inspection).

Disponer de visibilidad sobre las aplicaciones es cada vez más interesante dado que las redes están evolucionando desde una arquitectura basada en transporte, mayoritariamente sobre MPLS y sobre la que “se encajan las aplicaciones”, a una arquitectura basada en aplicaciones, en la que es la red de transporte quien “se ha de adaptar a ellas” y no al revés. Estas nuevas arquitectura están basadas en accesos híbridos MPLS y/o Internet. Es lo que se conoce con el nombre de “redes híbridas” o SDWAN (Software Defined Wide Access Network).

Estas nuevas redes orientadas a aplicaciones surgen en parte para acomodar de forma más adecuada a la oleada de nuevos servicios demandados por los usuarios: movilidad y BYOD, video, Internet de las Cosas (IoT), aplicaciones en la nube… Disponer de herramientas que den visibilidad sobre dichas aplicaciones permitirá entender la red, especialmente las aplicaciones sobre HTTP/HTTPS, que se ha convertido en un soporte universal para aplicaciones (“HTTP el nuevo TCP”).

¿Cómo afrontar la visibilidad en las nuevas redes híbridas?

* Inteligencia distribuida: activar DPI e IPFIX en routers remotos. Tiene la ventaja de que el proceso DPI dispone de toda la información en origen del flujo de datos de la sesión para determinar la aplicación, pero por desgracia el proceso DPI tiene un impacto muy alto en prestaciones que se da en todos y cada uno de los routers de la red.

* Análisis centralizado: usar Netflow y colectora inteligente. Tiene (a priori) el inconveniente de que la colectora solo dispone de información estadística de sesiones, es decir, menos elementos de juicio que en el caso anterior, sin embargo, es posible mediante diversos procedimientos de resolución inversa de nombres y algoritmos heurísticos una granularidad similar (un buen ejemplo es la Colectora Polygraph producto de alta tecnología desarrollado por una empresa local). Por otro lado, el uso de Netflow en los routers tiene un impacto despreciable, lo que permite un mejor aprovechamiento de los recursos de red y una red más escalable, por lo que en la práctica es una muy buena opción.

Cuál es el futuro de las redes híbridas?

La evolución de las redes híbridas o SDWAN hacia redes puras SDN conllevará un control directo de las aplicaciones sobre el comportamiento de la red de forma dinámica, para lo cual, la visibilidad jugará un papel fundamental.

En Teldat disponemos de amplia experiencia en implementaciones de redes híbridas y en visibilidad; siempre avanzando con nuestros clientes para crear las redes de presente y del futuro.


Sobre el autor

Marcel Gil
Jefe de línea de negocio: SD-WAN

Comparte este post

Tweet about this on TwitterShare on LinkedInShare on Google+Email this to someone