| Artículos | 01 MAR 2006

Los caminos hacia el nuevo modelo de conmutación

La nueva generación de conmutadores integrará funciones de seguridad, optimización de aplicaciones y reforzamiento de políticas. Este es el objetivo, pero los caminos para conseguirlo no siempre coinciden.

Los conmutadores de próxima generación no sólo integrarán funciones de seguridad inteligente, además de las de cortafuegos, detección y prevención de intrusiones (IDS e IPS) y redes privadas virtuales (VPN), sino también la capacidad de tratar distintos tipos de optimización de aplicaciones, como aceleración Web, balanceo de cargas de servidor y optimización WAN. Esta es la tendencia cierta de la que casi nadie duda ya. La cuestión pendiente para los responsables de TI es cómo se integrarán estas funciones y cuándo ofrecerán un nivel de precio/rendimiento que haga factible su adopción.
Current Analysis arroja algo de luz sobre estos interrogantes. En opinión de la consultora, todavía tendrá que pasar algún tiempo hasta que lleguen estos conmutadores de próxima generación, y, cuando lo hagan, será por lo general en forma de módulos, pues llevar las nuevas funciones al nivel de puerto sería demasiado caro y exigiría un procesamiento intensivo. Los cambios reales que conformarán las nuevas plataformas de conmutación se producirán durante los próximos dos o tres años. Al final de este proceso, asegura Current Analysis, el procesamiento de seguridad en tareas como inspección a fondo de paquetes pasará a las tarjetas de línea, es decir, las tarjetas que contienen los puertos que enlazan el medio físico con el conmutador. Esta nueva generación de tarjetas, válidas para los conmutadores existentes, “comprenderán” mucho más profundamente todo lo que pasa por la red.

Llámalo X
El nivel de conocimiento a fondo incorporado a los dispositivos suele ser referido por cada fabricante a su propio modo, con una amplia variedad de denominaciones. Así, 3Com lo llama “blade de control”, mientras que Cisco prefiere la expresión “networking consciente de las aplicaciones” o Application Oriented Networking (AON). Y si Juniper lo ha bautizado como “fluidez de aplicaciones”, Enterasys opta por “networking de contexto”. En cualquier caso, todas estas denominaciones nos hablan de los desarrollos que están poniendo en marcha los fabricantes para hacer del conmutador un equipo no sólo capaz de examinar paquetes y entregarlos apropiadamente, sino también de examinar la corriente de aplicaciones en su totalidad (es decir, todo el flujo de paquetes), y tomar en consecuencia las acciones oportunas. Una capacidad que, según los expertos, optimiza el rendimiento de la seguridad y las aplicaciones. "Los conmutadores y routers del futuro serán conscientes del flujo completo de la comunicación y no sólo de los paquetes individuales”, asegura John Roese, CTO de Enterasys Networks. "Su cometido no se limitará a comprobar si un paquete es bueno o malo, sino a si la secuencia de paquetes se ajusta a la conversación total y, en función de los resultados, tomar acciones correctivas”.
Estas nuevas características obedecen tanto a la optimización de las aplicaciones como a la de la seguridad, ahora tratadas por dispositivos de red distintos. Una separación de funciones que hoy, según IDC, supone un verdadero problema: cada tipo de dispositivo suele ser comprado por un grupo de TI distinto, ya que, por ejemplo, el grupo de servidores se ocupa de la aceleración Web o el balanceo de cargas, el grupo de seguridad de los cortafuegos e IDS, y el grupo de red de las VPN. Si el grupo de servidores Web instala un dispositivo de comprensión y ya hay un conmutador corriendo un servicio similar, podrían entrar en conflicto, generando batallas políticas que nada tienen que ver con la tecnología.
Por otra parte, esta proliferación de dispositivos puede convertir la gestión en una verdadera pesadilla, especialmente en las sucursales y delegaciones. Por ello, es aconsejable, desde un punto de vista tanto tecnológico como de gestión, consolidar todos esos dispositivos en la medida de lo posible, y mucho mejor aún si se hace en el conmutador.

Impacto en el rendimiento
Con todo, es muy probable que consolidar todas las funciones de estos dispositivos en el conmutador impacte el rendimiento. Doug Gourley, director de marketing de Cisco Systems, está seguro de ello. En su opinión, “la cuestión está en crear tarjetas de línea con muchos servicios pero con menos rendimiento, crear algo con un gran rendimiento pero sin servicios, o hacer un equilibrio entre ambas propuestas”. Y este equilibrio es lo que, según Gourley, ofrece al cliente múltiples opciones de funcionalidad y de dónde implementarla. “Un posible escenario sería disponer de un enorme rendimiento en la parte central de la red, mientras que en el extremo, donde convergen usuarios, aplicaciones, cortafuegos y otras redes, se ofrece un nivel de servicios muy rico con un rendimiento simplemente aceptable”.
Puesto que los conmutadores de Cisco usan la misma plataforma y los mismos módulos de servicio, ya sea a nivel central, de distribución o de armario de cableado, los usuarios pueden cambiar las funcionalidades según sus necesidades. Se trata de un enfoque basado en blades insertables en un chasis de conmutador, no en tecnología embebida, aunque, en el futuro, la compañía espera llevar determinadas tecnologías, como IDS/IPS e inspección a fondo de paquetes, a la tarjeta de línea.
Cisco ve además factible integrar tales servicios a nivel de puerto. "Un buen ejemplo podría ser la inspección a fondo de paquetes, que permitiría a los conmutadores examinar cabeceras HTTP y esquemas XML para enrutarlos apropiadamente. Todo esto lo estamos poniendo en marcha con la tecnología Application-Oriented Network (AON), que, no obstante, va mucho más allá de la seguridad integrada que podamos ver en los primeros conmutadores de próxima generación”.
Otros toman un enfoque diferente en la cuestión precio/rendimiento. Enterasys, por ejemplo, está integrando su IDS/IPS Dragon y funciones de detección de anomalías directamente en sus conmutadores N-series. El conmutador determina si el tráfico es sospechoso y sólo en caso afirmativo se realiza la inspección de paquetes. Este enfoque representa, según Roese, un paso intermedio hasta que el silicio de próxima generación haga más rentable en costes y más efectiva operativamente la inspección a fondo de los paquetes del tráfico en su totalidad.
"Actualmente, nuestros N-Series disponen de tarjetas aceleradoras que, esencialmente, permiten al sistema redirigir el tráfico que sobrepasa un determinado umbral a un dispositivo de inspección de paquetes con funciones de detección de anomalías, y prevención y detección de intrusiones”, explica Roese. Esto se realiza en función de políticas que tienen en cuenta diversos factores, como identidad, rol en la organización y localización.

Control interpuesto
Otros fabricantes ven más efectivo añadir nueva inteligencia y nuevas funcionalidades como una capa superpuesta a la red del conmutador. Es el caso de 3Com, que planea añadir a la red del conmutador lo que llama un plano de control, operativo entre el plano de conectividad subyacente y el plano de aplicación superior. Será o

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información