Está en la página 1de 80

These materials are © 2019 John Wiley & Sons, Inc.

Any dissemination, distribution, or unauthorized use is strictly prohibited.


Virtualización
de redes
Segunda edición especial de VMware

Jonathan Morin y
Shinie Shaw

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Virtualización de redes For Dummies®, 2.ª edición especial de VMware

Publicado por
John Wiley & Sons, Inc.
111 River St., Hoboken, NJ 07030-5774
www.wiley.com
Copyright © 2019 por John Wiley & Sons, Inc., Hoboken, New Jersey
Ninguna parte de esta publicación puede reproducirse, almacenarse en un sistema de recuperación
o transmitirse de ninguna forma ni por ningún medio, ya sea electrónico, mecánico, de fotoco-
piado, grabación, escaneo o de otro tipo, excepto según lo permitido por los Artículos 107 o 108 de
la Ley de Derechos de Autor de Estados Unidos de 1976, sin el permiso previo por escrito del editor.
Las solicitudes al editor para obtener permiso deben dirigirse al Departamento de Permisos,
John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, fax (201) 748-6008
o en línea en http://www.wiley.com/go/permissions.
Marcas registradas: Wiley, For Dummies, el logotipo de Dummies Man, The Dummies Way,
Dummies.com, Making Everything Easier y la imagen comercial relacionada son marcas
comerciales o marcas comerciales registradas de John Wiley & Sons, Inc. y/o sus filiales en Estados
Unidos y otros países, y no pueden usarse sin permiso por escrito. VMware, vSphere y vRealize son
marcas comerciales registradas y VMware NSX, VMware vRealize Operations y vRealize Automation
son marcas comerciales de VMware, Inc. El resto de las marcas comerciales son propiedad de sus
respectivos dueños. John Wiley & Sons, Inc., no está asociado con ningún producto o proveedor
mencionado en este libro.

LÍMITE DE RESPONSABILIDAD/RENUNCIA DE GARANTÍA: EL EDITOR Y EL AUTOR NO HACEN NINGUNA


DECLARACIÓN NI OTORGAN GARANTÍA ALGUNA CON RESPECTO A LA EXACTITUD O EXHAUSTIVIDAD
DE LOS CONTENIDOS DE ESTE TRABAJO Y SE DESLIGAN ESPECÍFICAMENTE DE TODAS LAS GARANTÍAS,
INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE IDONEIDAD PARA UN PROPÓSITO PARTICULAR. NO
SE PUEDE CREAR O EXTENDER NINGUNA GARANTÍA POR VENTAS O MATERIALES PROMOCIONALES.
LOS CONSEJOS Y LAS ESTRATEGIAS CONTENIDAS EN EL PRESENTE DOCUMENTO PUEDEN NO SER
ADECUADOS PARA CADA SITUACIÓN. ESTE TRABAJO SE VENDE CON LA COMPRENSIÓN DE QUE EL EDITOR
NO SE INVOLUCRA EN LA PRESTACIÓN DE SERVICIOS JURÍDICOS, CONTABLES U OTROS SERVICIOS
PROFESIONALES. SI SE NECESITA AYUDA PROFESIONAL, SE DEBEN SOLICITAR LOS SERVICIOS DE UNA
PERSONA PROFESIONAL COMPETENTE. NI EL EDITOR NI EL AUTOR SERÁN RESPONSABLES POR LOS
DAÑOS QUE SURGIEREN DE ESTA PUBLICACIÓN. EL HECHO DE QUE EN ESTE TRABAJO SE MENCIONE A
UNA ORGANIZACIÓN O SITIO WEB COMO CITA Y/O FUENTE POTENCIAL DE INFORMACIÓN ADICIONAL
NO SIGNIFICA QUE EL AUTOR O EL EDITOR REFRENDE LA INFORMACIÓN QUE LA ORGANIZACIÓN O SITIO
WEB PUEDA PROVEER O LAS RECOMENDACIONES QUE PUEDA HACER. ADEMÁS, LOS LECTORES DEBEN
TENER EN CUENTA QUE LOS SITIOS WEB DE INTERNET QUE SE MENCIONAN EN ESTE TRABAJO PUEDEN
HABER CAMBIADO O DESAPARECIDO ENTRE LA ESCRITURA Y LA LECTURA DE ESTE TRABAJO.

ISBN 978-1-119-59701-8 (pbk); ISBN 978-1-119-59700-1 (ebk)


Fabricado en los Estados Unidos de América
10 9 8 7 6 5 4 3 2 1
Para obtener información general sobre nuestros otros productos y servicios, o sobre cómo crear
un libro personalizado para principiantes para su empresa u organización, comuníquese con
nuestro Departamento de Desarrollo Comercial en Estados Unidos al 877-409-4177, escríbanos
a info@dummies.biz o visite www.wiley.com/go/custompub. Para obtener información sobre la
concesión de licencias de la marca For Dummies para productos o servicios, póngase en contacto
con BrandedRights&Licenses@Wiley.com.

Agradecimientos del editor


Algunas de las personas que ayudaron a publicar este libro se mencionan a conti-
nuación:
Editor de desarrollo: Becky Whitney Representante de desarrollo de nego-
Editor de proyecto: Elizabeth Kuball cios: Karen Hattan

Editor de adquisiciones: Katie Mohr Editor de producción: Magesh


Elangovan
Director editorial: Rev Mengle

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Índice
INTRODUCCIÓN.............................................................................................. 1
Acerca de este libro.............................................................................................1
Suposiciones básicas..........................................................................................1
Íconos utilizados en este libro...........................................................................2
Adónde ir a partir de aquí..................................................................................2

CAPÍTULO 1: La próxima evolución del trabajo en redes:


El surgimiento de la red de nube virtual................... 3
El negocio precisa velocidad.............................................................................4
Los requisitos de seguridad se elevan............................................................5
Las aplicaciones y los datos están en múltiples nubes................................6
Las arquitecturas de red basadas en hardware no pueden seguir
la marcha del SDDC............................................................................................7
El aprovisionamiento de la red física es lento por naturaleza.............7
La ubicación y la movilidad de las cargas de trabajo son limitadas....8
Las limitaciones y los callejones sin salida del hardware
generan complejidad y rigidez...................................................................9
Los procesos de configuración son manuales, lentos y
proclives a errores.......................................................................................10
Los gastos operativos (OpEx) y los gastos de capital (CapEx)
son demasiado altos..................................................................................10
No se pueden aprovechar los recursos de la nube híbrida................12
Las defensas de las redes no son adecuadas.......................................12

CAPÍTULO 2: Ya es hora de virtualizar la red....................................... 15


¿Cómo funciona la virtualización de redes?.................................................15
La virtualización de redes y las redes definidas por software..................20
Los dispositivos virtuales en comparación con la integración en la
capa virtual.........................................................................................................21
¿Por qué es el momento apropiado para la virtualización de redes?.....22
Cómo satisfacer las demandas de un negocio dinámico....................23
Cómo incrementar la flexibilidad mediante la abstracción del
hardware.......................................................................................................23
Cómo incrementar la seguridad por medio de la
microsegmentación....................................................................................24
Cómo establecer una plataforma para el centro de datos
definido por software.................................................................................25
Un replanteamiento de la red.........................................................................25

Índice iii

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
CAPÍTULO 3: La transformación de la red.............................................. 27
Las funcionalidades clave de una red virtualizada.....................................27
Las redes superpuestas.............................................................................28
Una breve introducción sobre VXLAN y GENEVE..................................29
Las funciones de una red virtual....................................................................32
El gran beneficio................................................................................................32
Le presentamos VMware NSX Data Center: Cómo llevar la virtuali-
zación de redes al SDDC..................................................................................33
¿Cómo funciona?...............................................................................................33
Arquitectura de NSX Data Center............................................................34
Integración con la infraestructura de red existente.............................34
El trabajo en red se simplifica...................................................................34
Cómo aprovechar un ecosistema de trabajo en red y
capacidades de seguridad más amplias.................................................35
Lo que hace: Capacidades clave de NSX Data Center................................35
Todo en el software....................................................................................35
Servicios esenciales de aislamiento, segmentación y seguridad
avanzada.......................................................................................................36
Rendimiento y escala..................................................................................38
Visibilidad de red sin comparación..........................................................38
Beneficios principales de NSX Data Center..................................................39
Beneficios funcionales...............................................................................39
Beneficios económicos..............................................................................40

CAPÍTULO 4: Casos de uso de la virtualización de redes............ 43


Cómo asegurar el centro de datos................................................................44
Microsegmentación: Cómo limitar el movimiento lateral
dentro del centro de datos........................................................................44
Crecimiento del tráfico este-oeste dentro del centro de datos.........45
Visibilidad......................................................................................................46
Sensibilidad al contexto.............................................................................47
Aislamiento...................................................................................................48
Segmentación..............................................................................................49
Automatización............................................................................................50
Inserción de servicios: e introspección de visitas..................................51
Entornos de usuario seguros Microsegmentación para VDI..............51
Cómo automatizar los procesos de TI...........................................................52
La automatización de la TI.........................................................................52
La nube del desarrollador.........................................................................52
Infraestructura multiusuario.....................................................................53
Aplicaciones nativas de la nube...............................................................54

iv Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
El trabajo en red multinube.............................................................................54
Recuperación ante desastres...................................................................55
Agrupación en múltiples sitios y extensión del centro de datos.......55
Seguridad coherente entre nubes...........................................................56

CAPÍTULO 5: Cómo poner en práctica la virtualización


de redes.............................................................................................. 57
Investigar las áreas de inversión en operaciones.......................................58
Las personas y el proceso.........................................................................58
Los procesos y las herramientas..............................................................59
Algunos ejemplos..............................................................................................61
Gestión del aprovisionamiento y de la configuración.........................61
Gestión de incidentes y de capacidad.....................................................62
Microsegmentación....................................................................................63
Cómo desarrollar la mentalidad correcta....................................................64
Con la mirada en el panorama general........................................................64

CAPÍTULO 6: Las (aproximadamente) 10 maneras de


empezar con la virtualización de redes.................... 67
Ponerse al día con lo básico............................................................................68
Una incursión más profunda..........................................................................68
Prueba de manejo de NSX Data Center en laboratorios prácticos.........70
Cómo lograr visibilidad.....................................................................................70
Descubra cómo implementar NSX Data Center en su entorno...............71
Cómo implementar NSX Data Center en su infraestructura de red
existente..............................................................................................................72
Cómo integrarse con sus socios del ecosistema de servicios de red.....73

Índice v

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Introducción
B ienvenido a Virtualización de redes For Dummies, su guía hacia un
nuevo y muy mejorado enfoque hacia el trabajo en red.

Antes de que nos metamos de lleno en la virtualización de redes, per-


mítanos describir brevemente algunos de los temas que trataremos en
estas páginas. Todos los requisitos que se enumeran a continuación son
razón suficiente para abandonar la red cableada del pasado y mudarse
al flexible mundo de la virtualización de redes, el cual describiremos en
profundidad en el capítulo 1:

»» La red precisa moverse a la misma velocidad que el negocio.


»» La seguridad de red precisa moverse más rápido que los
ciberdelincuentes.
»» Las aplicaciones precisan contar con la flexibilidad de ejecutarse
en cualquier entorno.

Así que, ¿cómo se llega a ese punto? El primer paso es sumergirse en los
conceptos de este nuevo enfoque al centro de datos. De eso se trata este
libro.

Acerca de este libro


No deje que el pequeño tamaño de este libro lo engañe. Está lleno de
información que puede ayudarle a comprender y sacar provecho de la
virtualización de redes. En palabras simples, explicamos qué es la vir-
tualización de redes, por qué resulta ser un tema tan candente, cómo
iniciarse en el tema y los pasos que puede seguir para aprovechar al
máximo el dinero que invierte en TI.

Suposiciones básicas
Al escribir este libro, hemos dado por supuestas ciertas cosas sobre
usted, el lector. Suponemos que:

»» Usted trabaja en TI, en la nube, en la segmentación de cauce de


aplicaciones (pipeline) o en una actividad que involucra cierto
grado de trabajo en red.

Introducción 1

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Está familiarizado con la terminología del trabajo en red.
»» Comprende el concepto de virtualización.

Íconos utilizados en este libro


Para que resulte aún más fácil dirigirse a la información de mayor uti-
lidad, estos íconos resaltan el texto clave:

Preste atención especial a estos puntos claves “para llevar a casa”.

RECUERDE

Lea estos segmentos adicionales si necesita obtener una explicación


más técnica.
ASPECTOS
TÉCNICOS

Siga el blanco para obtener consejos que pueden ayudarle a ahorrar


tiempo y esfuerzo.

SUGERENCIA

Adónde ir a partir de aquí


Este libro fue escrito como guía de referencia, así que puede leerlo de
principio a fin o ir directamente a los temas que más le interesan. Cual-
quiera sea la opción que elija, no se equivocará. Ambos caminos lo lle-
varán al mismo resultado: una mejor comprensión de la virtualización
de redes y de cómo esta puede ayudarle a incrementar la seguridad, la
agilidad y la flexibilidad multinube de sus redes.

2 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
EN ESTE CAPÍTULO
»» Exploraremos los desafíos del trabajo en
red en el presente
»» Justificaremos la virtualización de redes
»» Presentaremos la red de nube virtual

Capítulo  1
La próxima evolución
del trabajo en redes:
El surgimiento de la
red de nube virtual

P
or qué debería preocuparse por la virtualización de redes? Existe

¿ más de una respuesta a esta pregunta. Este capítulo explora


numerosos desafíos actuales que apuntan a una única necesidad
dominante: Hay que estar a la altura de las circunstancias en materia
de trabajo en red y de seguridad. Los motivos son:

»» Para seguir siendo competitivas, las empresas necesitan la


agilidad de la nube.
»» Las arquitecturas de red heredadas limitan la agilidad del
negocio, no controlan las amenazas de seguridad y elevan los
costos.
»» El hardware dedicado a cada función de la red impide un
enfoque diferente.

La virtualización de redes implica reescribir las reglas sobre cómo se


brindan los servicios, desde el centro de datos definido por software

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual 3

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
(SDDC), pasando por la nube y hasta la periferia. Este enfoque hace que
las redes dejen de ser estáticas, rígidas e ineficientes para ser dinámi-
cas, ágiles y optimizadas.

En este nuevo mundo, la virtualización permite que la inteligencia de la


infraestructura pase del hardware al software. Con el SDDC, los ele-
mentos de la infraestructura del centro de datos —incluidos el procesa-
miento, el trabajo en red y el almacenamiento— se virtualizan y se
agrupan en conjuntos de recursos. Los recursos se implementan de
manera automática, con una intervención humana escasa o nula. Todo
es flexible, automatizado y controlado por software. La red de nube vir-
tual expande estos conceptos más allá del centro de datos hacia cual-
quier lugar en donde se alojen las aplicaciones y la información.

Con el SDDC habilitado por la virtualización de red, puede olvidarse de


pasar días o semanas aprovisionando la infraestructura de soporte para
una nueva aplicación. Puede implementar o actualizar aplicaciones en
minutos, para lograr un tiempo acelerado de creación de valor. Este
libro se centra particularmente en la forma en la que la virtualización de
redes posibilita el SDDC y, a la vez, explica brevemente que esto consti-
tuye el fundamento para la red en la nube virtual: un modelo de trabajo
en red que expande la virtualización de redes a través de nubes, aplica-
ciones y extremos.

Según el informe “2018 State of the Cloud” (Situación de la nube 2018)


de RightScale, se espera que el 81 por ciento de las empresas cuenten
con una estrategia multinube y que las organizaciones empleen un pro-
medio de cinco nubes. A fin de lograr esta estrategia, resulta esencial
adoptar un enfoque definido por software. Es un marco de trabajo muy
necesario para lograr mayor agilidad y una entrega de servicios con
mayor grado de respuesta por parte de las operaciones y el desarrollo de
TI; todo esto a un costo menor. Es la clave para comenzar a dominar el
futuro multinube.

El negocio precisa velocidad


El inicio del capítulo muestra todas las buenas noticias sobre la virtua-
lización de redes. Esta es la clave: Las arquitecturas de red basadas en
hardware no pueden igualar la velocidad y la agilidad del SDDC.

Organizaciones de todos los tamaños están viviendo un rápido aumento


en la velocidad de los cambios. Todo se necesita para ayer: las innova-
ciones modernas y la entrega de características, las respuestas compe-
titivas, los proyectos críticos para la organización. Esta nueva realidad
acarrea grandes consecuencias para la red.

4 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Cuando una empresa quiere sorprender a sus clientes con una nueva
aplicación, lanzar una promoción o tomar un nuevo camino hacia el
mercado, necesita que los servicios de TI de soporte actúen de inme-
diato, no semanas después, ni siquiera días después. En el mundo
actual, o usted corre detrás de eso o se lo pierde. Estamos en la era de la
asombrosa reducción de oportunidades.

Cuando la empresa le solicita servicios esenciales a la organización de


TI, quiere escuchar: “Nosotros nos hacemos cargo. Lo tendrá listo y
funcionando enseguida”. Y, cada vez más, la empresa ni siquiera desea
tener que pedirlo.

Los requisitos de seguridad se elevan


Hace mucho tiempo, el joven Bob Dylan le daba este consejo al mundo:
“No se necesita un meteorólogo para saber hacia dónde sopla el viento”.
Actualmente, se podría decir casi lo mismo sobre la seguridad de las
redes. En las empresas de hoy, un viento poderoso está soplando y sirve
como alerta de seguridad.

Todos saben que necesitamos hacer más para evitar fallas costosas que
ponen información sensible al alcance de los ciberdelincuentes. Nin-
guna empresa es inmune a esta amenaza. Solo piense en las fallas de
seguridad que llegaron a ser titulares de periódicos en los últimos años:
fallas que pusieron de rodillas a gigantes corporativos. Las principales
marcas, desde el negocio de la salud y la banca de inversión hasta los
vendedores minoristas y el negocio del entretenimiento, resultaron
perjudicadas en su imagen por decepcionar a sus clientes. Todas las
empresas están hoy inmersas en la misma y costosa batalla de defender
la información crítica.

Es como un gran juego de guerra. Una empresa fortifica su centro de


datos con un nuevo y resistente muro de firewall y los ciberdelincuentes
se escabullen a través de una puerta trasera desconocida —como por
ejemplo una simple vulnerabilidad en el sistema de un cliente— y
corren libremente dentro del centro de datos. La estrategia tradicional
para la defensa del perímetro debe ser actualizada para incluir una pro-
tección mucho mayor dentro del centro de datos.

Observe estas conclusiones provenientes de investigaciones:

»» Según el informe 2018 de CSIS, “Economic Impact of Cybercrime —


No Slowing Down” (El impacto económico de la ciberdelincuencia:
nada lo detiene), las pérdidas por seguridad aumentan año tras
año a pesar de que la inversión en seguridad es mayor año a año.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual 5

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» En un comunicado de prensa de Gartner de agosto de 2017, Sid
Deshpande, analista de investigación principal de Gartner, dijo:
“… mejorar la seguridad no tiene que ver con gastar en nuevas
tecnologías. Como hemos visto en la reciente oleada de
incidentes a nivel mundial, hacer lo básico de la forma correcta
jamás fue tan importante como lo es hoy. Las organizaciones
pueden mejorar su posición de seguridad en forma significativa
ocupándose de la seguridad básica y de los elementos de
higiene relacionados con los riesgos tales como... la segmenta-
ción de la red interna...”.

Observaciones como esta resaltan la necesidad de transformar la red


mediante la virtualización con seguridad integrada.

Las aplicaciones y los datos


están en múltiples nubes
Ya no existe una respuesta sencilla para saber dónde se ejecutan las
aplicaciones y dónde se alojan sus datos. Para muchas organizaciones,
algunas aplicaciones comienzan en la nube, donde algunos desarrolla-
dores comienzan a codificar y a ensayar. Muchas organizaciones se
encuentran con que ciertas aplicaciones funcionan mejor en el centro de
datos privado, tanto por la eficiencia de costo como por el control pri-
vado. Muchas otras organizaciones incluso han llevado sus aplicaciones
en cualquiera de las siguientes direcciones: desde el centro de datos
privado hacia la nube pública para delegar la gestión, y de la nube
pública al centro de datos privado para controlar los costos de la nube
pública o para aprovechar los nuevos modelos de consumo de la nube
privada. Hoy las organizaciones se han dado cuenta de que necesitan
depender de entornos múltiples.

El auge de la virtualización de servidores ha hecho posible un gran


número de cosas en materia de movilidad de las aplicaciones, pero
siempre hubo una trampa: la red. Es como una piedra en el zapato, para
utilizar palabras más comunes. La configuración de la red está ligada al
hardware, de manera que incluso si las aplicaciones pueden moverse
con relativa facilidad, las conexiones de red cableadas las retienen.

Los servicios de trabajo en red tienden a variar mucho entre centros de


datos o nubes. Esto significa que se necesita realizar mucha personali-
zación para hacer que las aplicaciones trabajen en distintos entornos de
red. Ese es un obstáculo importante para la movilidad de las aplicacio-
nes, y otro motivo para utilizar la virtualización a fin de transformar
la red.

6 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Las arquitecturas de red basadas
en hardware no pueden seguir
la marcha del SDDC
El SDDC es la arquitectura más ágil y con mayor respuesta para el centro
de datos moderno. Se materializa trasladando la inteligencia al software
de todos los elementos de la infraestructura. Entonces, hagamos un
balance de la situación actual:

»» La mayoría de los centros de datos actualmente aprovechan la


virtualización de servidores en favor de una eficiencia de
procesamiento óptima. ¡Listo!
»» Muchos centros de datos actualmente optimizan sus entornos
de almacenamiento mediante la virtualización. ¡Listo!
»» Las organizaciones han virtualizado sus entornos de red dentro
del centro de datos y entre nubes. ¡Se hizo un gran avance! Pero
el potencial de lo que aún se puede hacer es enorme.

A pesar de que los negocios están sacando provecho de la virtualización


de servidores y de almacenamiento, aún enfrentan el desafío de la
infraestructura de red heredada que gira en torno a enfoques centrados
en hardware y aprovisionados en forma manual que existen desde la
primera generación de centros de datos.

En las secciones siguientes, recorremos algunos de los desafíos especí-


ficos que presentan las arquitecturas heredadas.

El aprovisionamiento de la red
física es lento por naturaleza
Aunque algunos procesos de aprovisionamiento de red pueden ser pro-
gramados mediante scripts (y existen ciertos modelos de redes defini-
das por software [SDN] que prometen hacer esto realidad) con sistemas
basados en hardware, no hay una vinculación automática con la virtua-
lización del procesamiento o del almacenamiento. En consecuencia, no
hay una forma automática de aprovisionar el trabajo en red mientras el
procesamiento y el almacenamiento asociados se crean, se mueven, se
capturan en pantalla, se borran o se clonan. Así, el aprovisionamiento
de la red sigue siendo lento a pesar de la utilización de herramientas
automatizadas.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual 7

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Mientras tanto, lo que más le importa a la empresa —tener las aplica-
ciones nuevas listas para la acción— queda sujeto a frecuentes demoras
provocadas por los procesos manuales, lentos y proclives a errores, que
se utilizan para aprovisionar los servicios de red.

Todo esto resulta un poco irónico cuando damos un paso atrás para
contemplar el panorama general: las limitaciones de las redes hereda-
das condicionan el mundo dinámico de hoy al empleo de hardware
dedicado y rígido. La infraestructura de almacenamiento y de servidores
que debería readaptarse velozmente debe aguardar a que la red se ponga
al día. El aprovisionamiento se torna un gran juego de tire y afloje.

La ubicación y la movilidad de las cargas


de trabajo son limitadas
En los veloces entornos comerciales de hoy, las aplicaciones necesitan
tener piernas. Deben moverse libremente de un lugar a otro. Esto puede
significar la necesidad de replicarse en un centro de datos de respaldo y
recuperación, reubicarse de una parte del centro de datos corporativos a
otra, o migrar dentro y fuera de un entorno en la nube.

La virtualización de servidores y del almacenamiento posibilita este tipo


de movilidad. Sin embargo, se debe tener en cuenta otro problema: la
red. Cuando hablamos de la movilidad de las aplicaciones, los actuales
silos de las redes cableadas les quitan a las aplicaciones los zapatos que
precisan para correr. Las cargas de trabajo, incluso las que están en las
máquinas virtuales, están atadas al hardware y a topologías de red físi-
cas. Para complicar las cosas, los diversos centros de datos cuentan con
diferentes enfoques hacia los servicios de redes. Por lo tanto, puede que
cueste mucho esfuerzo configurar una aplicación que se ejecuta en un
centro de datos A para que tenga un desempeño óptimo en el centro de
datos B.

Todo esto limita la ubicación de la carga de trabajo y la movilidad de las


aplicaciones y hace que el cambio no sea solo difícil, sino también
arriesgado. Siempre es más fácil (y rápido) dejar las cosas tal y como
están.

El enfoque actual hacia el trabajo en red —centrado en el hardware—


restringe la movilidad de la carga de trabajo a las subredes físicas indi-
viduales y a las zonas de disponibilidad. Para alcanzar los recursos de
ASPECTOS procesamiento disponibles en el centro de datos, los operadores de su
TÉCNICOS
red pueden verse forzados a realizar una por una las configuraciones de
los conmutadores (switches), los ruteadores (routers), las reglas de los
firewalls, los servicios de balanceo de carga y así sucesivamente. Este

8 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
proceso no solamente es lento y complejo, sino que además con el
tiempo alcanzará límites de escalabilidad, ya sea en las limitaciones de
la memoria de contenido direccionable ternaria (TCAM) con respecto a
cuántas direcciones MAC e IP pueden retener los sistemas, o en las
limitaciones arquitectónicas de modelos como las redes de área local
virtual (VLAN), las cuales aún se utilizan en demasiadas ocasiones como
mecanismo de segmentación a pesar de las soluciones alternativas y la
limitación de escala de 4096.

Las limitaciones y los callejones sin salida


del hardware generan complejidad y rigidez
El enfoque de caja negra cerrada que se emplea actualmente en el tra-
bajo en red —que incluye sistemas operativos personalizados, circuitos
integrados específicos de la aplicación (ASIC), interfaces de línea de
comando (CLI) y software de administración dedicado— complica las
operaciones y limita la agilidad. Este enfoque anticuado no tiene en
cuenta la naturaleza dinámica de las aplicaciones de hoy y lo deja a
usted cautivo..., y no solamente de su proveedor: lo deja cautivo dentro
de las complejidades de su arquitectura de red actual, limitando la capa-
cidad de su equipo de TI de adaptarse e innovar; lo cual le pone límites,
a su vez, al negocio mismo, ya que el negocio no puede ir más rápido
que la TI.

Según el informe de Gartner “Look Beyond Network Vendors for


Network Innovation” (Busque más allá de los proveedores de red para
la innovación de la red) del año 2018, Gartner observa que a medida que
sus clientes atraviesan una transformación digital, sus equipos de red
“deben proveer infraestructura de red de centros de datos rápidamente
y a pedido”. Además, Gartner observa que la red de centro de datos es
uno de los mayores desafíos para sus clientes, basándose en más de
3.000 consultas y encuestas de audiencia realizadas en 2017.

Aquí tenemos algunas conclusiones bastante reveladoras dentro del


mismo informe:

»» Es normal que los pedidos del centro de datos tarden días en


cumplirse.
»» El número de puertos activos soportados por cada equivalente
de tiempo completo (FTE) de la red del área local (LAN) se ha
vuelto menos eficiente con el paso del tiempo, en más de un
10 por ciento: de 3412 puertos por FTE en 2013 a solo
2933 puertos por FTE en 2016.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual 9

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Los procesos de configuración son
manuales, lentos y proclives a errores
Diariamente, las redes físicas obligan a su equipo de redes a desarrollar
muchas tareas manuales y repetitivas, muchas de las cuales es preferi-
ble no realizarlas o requieren aprobación debido a lo que implicaría un
error. Si una línea de negocios o un departamento solicita una nueva
aplicación o un nuevo servicio, hay que generar las VLAN necesarias,
mapear las VLAN a través de los conmutadores y vínculos superiores,
crear grupos de puertos, actualizar los perfiles de servicios y así
sucesivamente.

Algunos modelos de SDN tal vez sirvan en estos casos al admitir hard-
ware controlado por programas, pero esto aún lo deja con mucho tra-
bajo pesado por hacer. Por ejemplo, necesitará construir múltiples pilas
de red física idénticas para dar soporte a sus equipos de desarrollo,
ensayo y producción, y aun así no logrará la capacidad de implementar
su red (basada en hardware) de una en una con sus funciones de proce-
samiento y almacenamiento virtualizadas.

Esto implica pagar un precio muy alto. Tal como lo indicó Andrew Ler-
ner, un director de investigación en Gartner, “La gestión de configura-
ción y modificación de todo el equipamiento del trabajo en red sigue
siendo mayoritariamente un proceso manual y muy laborioso. Estas
prácticas de red poco óptimas producen paradas de producción, reducen
la seguridad, degradan el rendimiento de las aplicaciones y despilfarran
recursos humanos y económicos”.

Claramente, existe una vía más segura para avanzar: la automatización


de la red. Como señaló Network World en un artículo del 2018, “la auto-
matización de la red está ayudando a las empresas a ampliarse y a redu-
cir sus costos exponencialmente, permitiéndoles el ancho de banda que
necesitan para enfocarse en la estrategia y la innovación”.

Los gastos operativos (OpEx) y los gastos


de capital (CapEx) son demasiado altos
Las limitaciones de las arquitecturas de red heredadas están haciendo
subir los costos de los centros de datos, tanto en términos de gastos
operativos (OpEx) como de gastos de capital (CapEx).

OpEx
El uso intensivo de procesos manuales eleva los costos de las operacio-
nes de red. Piense simplemente en todas las tareas manuales y trabajo-
sas que requiere la configuración, el aprovisionamiento y la gestión de

10 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
una red física. Ahora, multiplique el esfuerzo de esas tareas por todos
los entornos a los que necesita dar soporte: desarrollo, ensayo, montaje
y producción; redes de departamentos distintos; distintos entornos de
aplicaciones; sitios primarios y de recuperación; y la lista continúa.
Tareas que pueden completarse en cuestión de minutos utilizando pro-
cesos automatizados (incluso en forma instantánea con la implementa-
ción automática de redes) terminan consumiendo horas, días o semanas
en un mundo manual.

Y luego tenemos los costos ocultos que aparecen con los errores de con-
figuración introducidos manualmente. Un solo error puede provocar un
problema o un corte de servicio crítico que afecte al negocio. Considere
estas observaciones:

»» Los estudios realizados por el Instituto Ponemon señalan


sistemáticamente que el error humano es una de las causas raíz
principales de los cortes no planificados (Instituto Ponemon,
“Cost of Data Center Outages 2010, 2013, 2016” [Cortes de los
centros de datos 2010, 2013, 2016]).
»» El impacto económico de un corte no planificado en un centro
de datos puede ser enorme. El Instituto Ponemon descubrió
que el costo de un corte se incrementó de $ 690 000 en 2013 a
$ 740 000 en 2016, y que se ha incrementado en un
38 por ciento desde este estudio realizado en 2010.

CapEx
En cuanto al capital, las arquitecturas de red heredadas exigen que su
organización invierta en soluciones autónomas para muchas de las fun-
ciones de seguridad y de trabajo en red que son fundamentales para las
operaciones del centro de datos. Estas funciones incluyen el ruteo, los
firewalls y el balanceo de cargas. Proveer estas funciones en todos los
lugares donde se necesitan es sumamente costoso.

También está el problema de la necesidad de aprovisionamiento exce-


sivo de hardware para estar seguros de que se pueden satisfacer los
picos de demanda, además de la necesidad de implementar configura-
ciones activas-pasivas. En efecto, debe adquirir el doble de hardware a
los fines de tenerlos disponibles y, en algunos casos, mucho más.

Además, está el costo de las actualizaciones a gran escala. Para aprove-


char las últimas innovaciones en tecnología de redes, los operadores de
red a menudo tienen que arrancar y reemplazar el equipamiento here-
dado, lo que obliga a las organizaciones a un ciclo de renovación de tres
a cinco años. Las arquitecturas de red heredadas basadas en hardware

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual 11

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
también precisan aprovisionamiento en exceso para responder ante los
picos de uso. La incapacidad de las redes basadas en hardware de escalar
en forma automática según las demandas tiene como producto esta
ineficiencia. Y el costo del trabajo en red sigue subiendo.

Las arquitecturas de red heredadas también pueden provocar otras


ineficiencias. A menudo, los diseñadores de redes deben reservar partes
de una red para un uso específico a fin de responder a requerimientos
de conformidad o de seguridad especiales. Junto con la necesidad de
aprovisionamiento excesivo, las ineficiencias se sobredimensionan, lle-
vando a grandes filas de “servidores oscuros” (y los recursos de red
asociados a ellos) que se conservan “por las dudas” sin tener ningún fin
útil. El resultado tiene la apariencia de un disco duro horriblemente
fragmentado.

No se pueden aprovechar los


recursos de la nube híbrida
El modelo de nube pública ha demostrado que las aplicaciones y los
servicios pueden ser aprovisionados a pedido. Las empresas de todas
partes quisieran disfrutar del mismo grado de velocidad y agilidad. Con
eso en mente, algunos ejecutivos visionarios pensaron en utilizar las
nubes híbridas para toda clase de usos, desde el almacenamiento de
datos y recuperación ante desastres hasta el desarrollo y el ensayo de
software.

Sin embargo, una vez más, está la trampa asociada con la red: En su
búsqueda de mudarse a la nube, las empresas se enfrentan a los obstá-
culos que representan el hardware de red y la topología física específicos
del proveedor. Estas limitaciones que acompañan a las arquitecturas de
los centros de datos heredadas pueden dificultar la implementación de
las nubes híbridas. Las nubes híbridas dependen de que el centro de
datos in situ se extienda ininterrumpidamente hacia un recurso en la
nube pública. Y ¿cómo puede lograr esto si no puede controlar la red de
nube pública para reflejar sus sistemas de trabajo en red basados en
hardware?

Las defensas de las redes


no son adecuadas
Muchos de los ciberataques ampliamente publicitados en los años
recientes tienen una característica en común: una vez que ingresó den-
tro del perímetro del centro de datos, el código dañino se trasladó de un
servidor al otro, y la información sensible se recolectó en cada uno de

12 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
ellos y se envió a los ciberdelincuentes. Estos casos resaltan una debili-
dad de los centros de datos actuales: tienen escasos controles de segu-
ridad de red que eviten que los ataques se propaguen dentro del centro
de datos.

Los firewalls perimetrales son bastante efectivos para detener muchos


de los ataques, pero no los detienen a todos. Como se apreció en los
últimos ataques, las amenazas todavía se infiltran dentro del centro de
datos a través de puntos de acceso legítimos. Una vez adentro, se dise-
minan como una enfermedad viral mortal. Este problema ha sido difícil
de resolver a causa de las realidades de las arquitecturas de red físicas.
En pocas palabras, con los sistemas de red heredados resulta muy cos-
toso proveer firewalls para el tráfico entre todas las cargas de trabajo
dentro del centro de datos. Eso hace difícil evitar que un ataque se pro-
pague lateralmente de un servidor a otro utilizando el tráfico
este-oeste.

Hasta aquí, hemos observado que:

RECUERDE
»» Para seguir siendo competitivas, las empresas necesitan
moverse con velocidad, pero sus redes no tienen la agilidad que
necesitan.
»» Las arquitecturas de red anticuadas están trabando el avance
hacia el SDDC y la red en la nube virtual.
»» Las arquitecturas de red heredadas limitan la agilidad del
negocio, no controlan las amenazas de seguridad y elevan los
costos.

Estas temáticas apuntan a una sola necesidad dominante: Es hora de


abandonar el pasado cableado e ingresar a la era de la red virtualizada.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual 13

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
EN ESTE CAPÍTULO
»» Se explican los fundamentos de la
virtualización de redes
»» Se destacan las ventajas de este nuevo
enfoque
»» Se describen las características
principales de una red virtualizada

Capítulo  2
Ya es hora de
virtualizar la red

E
n este capítulo, nos sumergimos en el concepto de la virtualiza-
ción de redes: de qué se trata, en qué se diferencia de otros tipos
de enfoques hacia el trabajo en red y por qué es el momento justo
para este nuevo enfoque.

Para poner las cosas en perspectiva, comencemos con un poco del con-
texto de la virtualización de redes, la situación de las redes hoy y cómo
es que llegamos a este punto.

¿Cómo funciona la virtualización de redes?


La virtualización de redes hace posible la creación, el aprovisionamiento
y la gestión de redes totalmente mediante programas de software, a la
vez que se siguen aprovechando las redes físicas subyacentes como
panel de conexión de redireccionamiento de paquetes. Los servicios de
seguridad y de redes en software se distribuyen a una capa virtual
(hipervisores, dentro del centro de datos) y se “adjuntan” a cargas de
trabajo individuales, tales como sus máquinas virtuales (VM) o conte-
nedores, siguiendo las políticas de red y de seguridad definidas para
cada aplicación conectada. Cuando una carga de trabajo se traslada a
otro host, sus servicios de red y de seguridad se trasladan con ella. Y
cuando se crean nuevas cargas de trabajo para escalar una aplicación,
las políticas necesarias se aplican en forma dinámica a ellas también.

CAPÍTULO 2 Ya es hora de virtualizar la red 15

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
De la misma manera en la que una VM o un contenedor son modelos de
software que presentan servicios lógicos para una aplicación, una red
virtual es también un modelo de software que presenta servicios de red
(conmutación, ruteado, firewall, balanceo de cargas, redes privadas vir-
tuales [VPN], y más) para las cargas de trabajo conectadas. Estos servi-
cios de red y de seguridad se proveen mediante software y requieren
únicamente el redireccionamiento de paquetes del protocolo de internet
(IP) proveniente de la red física subyacente. Estas mismas cargas de
trabajo se conectan a través de la red lógica, que se implementa
mediante el trabajo en red por superposición. Todo esto permite que la
red en su totalidad se cree mediante software (consulte la Figura 2-1).

Aplicación Aplicación Aplicación Carga de trabajo Carga de trabajo Carga de trabajo

Entorno x86 Servicios de red L2, L3, L4-L7


Máquina Máquina Máquina Red Red Red
virtual virtual virtual virtual virtual virtual
Hipervisor de servidor Desvinculado Plataforma de virtualización de redes
Requisito: x86 Requisito: Transporte IP

Procesamiento físico y memoria Red física

FIGURA 2-1: Virtualización del procesamiento y de las redes

La virtualización de redes coordina los conmutadores virtuales en todos


los diferentes entornos (por ejemplo: hipervisores, nubes) junto con los
servicios de red (por ejemplo: firewall, balanceo de carga) para proveer
de forma eficaz una plataforma de trabajo en red y permitir la creación
de redes virtuales dinámicas (consulte la Figura 2-2)

Redes virtuales

Internet

Netw
ork
VIrtu
aliza
tion
Laye
r

Red física existente

FIGURA 2-2: La plataforma de virtualización de redes.

16 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Otra ventaja de la virtualización de redes es que los recursos y los servi-
cios de la red pueden aprovisionarse mediante varias interfaces. Un
conjunto de opciones utiliza las interfaces de usuario nativas: la interfaz
de usuario gráfica (GUI) y la interfaz de líneas de comando (CLI) nati-
vas. Otro enfoque aprovecha la interfaz de programación de aplicacio-
nes (API) para programar (scripting) o elaborar herramientas locales.
Los marcos de aplicación nuevos, como Kubernetes, se integran con la
virtualización de redes, de manera que los servicios de red se crean
como nuevas aplicaciones, pods y contenedores. Otra manera de apro-
visionar redes virtuales es emplear una plataforma de gestión en la
nube (CMP), como la OpenStack o la VMware vRealize Automation, a fin
de solicitar una red virtual y los servicios de seguridad adecuados para
las nuevas cargas de trabajo. En cada caso, el controlador distribuye los
servicios de red necesarios a los conmutadores virtuales correspondien-
tes y los adjunta de manera lógica a las cargas de trabajo correspon-
dientes (consulte la Figura 2-3).

Controlador de clúster

VM

Conm
utado
r
1 Hipe virtual
rviso
2 r

VM

Servicios de
red distribuidos
(L2 L3 ACL
Red física cortafuegos
existente QoS…)

Servicios de red distribuidos


(L2 L3 ACL cortafuegos QoS…)

Plataforma de administración de nube


FIGURA 2-3: Aprovisionamiento de una red virtual.

Este enfoque no solo permite que se asocien redes virtuales distintas a


cargas de trabajo distintas dentro del mismo entorno (por ejemplo:
clúster, pod, hipervisor, instancia de aplicación, nube privada virtual
[VPN]), sino que permite también la creación de todo: desde redes vir-
tuales compuestas de tan solo dos nodos hasta modelos muy avanzados

CAPÍTULO 2 Ya es hora de virtualizar la red 17

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
que igualan a las complejas topologías de red multisegmento que se
utilizan para proveer aplicaciones multinivel.

Para las cargas de trabajo conectadas, una red virtual luce y opera como
una red física tradicional (consulte la Figura 2-4). Las cargas de trabajo
“ven” los mismos servicios de red de capa 2, capa 3 y capa 4 a 7 que
verían en una configuración física tradicional. Es solo que estos servi-
cios de red ahora son instancias lógicas de módulos de software distri-
buidos que se ejecutan en programas dentro del host local y se aplican a
la interfaz del conmutador virtual.

VM

tual
r vir
Conm
utado
ado r virtu
mut Hipe al
Con
rviso
r

VM
Servicios de red distribuidos
(L2 L3 ACL cortafuegos QoS…)

Red física
existente

Servicios de red distribuidos


(L2 L3 ACL cortafuegos QoS…)
FIGURA 2-4: La red virtual, desde la perspectiva (lógica) de la carga de trabajo.

Para la red física, una red virtual luce y opera como una red física tradi-
cional (consulte la Figura 2-5). La red física “ve” los mismos marcos de
red de capa 2 que vería en una red física tradicional. La carga de trabajo
virtualizada envía un marco de red de capa 2 estándar que se encapsula
en el hipervisor fuente con una IP, un protocolo de datagrama de usua-
rio (UDP) y encabezados de superposición de red lógica adicionales (por
ejemplo, red de área local expandible virtual [VXLAN] o encapsula-
miento de virtualización de red genérico [GENEVE]). La red física envía
el marco como marco de red de capa 2 estándar, y el entorno de destino
(por ejemplo: un hipervisor, una plataforma contenedora, una nube)
desencapsula los encabezados y entrega el marco de capa 2 original a la
carga de trabajo de destino (por ejemplo, una VM o un contenedor).

18 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
VM

tual
r vir Conm
ado utado
mut
r virtu
Hipe al
Con rviso
r

VM

OL,
s in A
nte AN,
e x iste sin VL
a o, os
físic cad g
Red simplifi rtafue
I P e c o
ión las d
nex g
l d e co sin re
e
Pan

FIGURA 2-5: La red virtual, desde la perspectiva (física) de la red.

La capacidad de aplicar y hacer cumplir los servicios de seguridad en la


interfaz virtual del conmutador virtual también elimina el “hairpin-
ning” o “salir para volver a ingresar” (consulte el Capítulo 3) en situa-
ciones donde el tráfico este-oeste entre dos extremos dentro del mismo
host físico, pero en diferentes subredes, debe atravesar la red para obte-
ner servicios esenciales, tales como el ruteado y el firewall.

¿QUÉ DIFERENCIA EXISTE ENTRE


UNA RED VIRTUAL Y UNA RED
DE ÁREA LOCAL VIRTUAL?
Si trabaja con redes, ya conoce todo acerca de las redes de área
local virtual, o VLAN. Hace tiempo que están entre nosotros.
Entonces, ¿por qué no basta con las VLAN? Analicemos las diferen-
cias entre las VLAN y las redes virtuales.

El enfoque de las VLAN divide la red de área local o LAN en múlti-


ples redes virtuales. Los grupos de puertos se aíslan unos de otros
como si estuvieran en redes físicas distintas. El enfoque de VLAN
es como cortar un gran pastel de red en muchas redes del tamaño
de un bocado. Al mirar hacia el futuro, a medida que su red crece,

(Sigue en la página siguiente)

CAPÍTULO 2 Ya es hora de virtualizar la red 19

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
(Continuación)

con el tiempo podría llegar a un callejón sin salida: el límite


máximo de 4096 VLAN dentro de una sola LAN.

Los problemas con las VLAN no acaban ahí. Otra gran limitación es
que las VLAN no permiten guardar, tomar capturas, eliminar,
clonar o mover redes. Y entonces nos encontramos con el pro-
blema de seguridad inherente a las VLAN: no le permiten controlar
el tráfico entre dos sistemas dentro de la misma VLAN. Esto signi-
fica que un ataque a un sistema puede saltar a otro sistema.

• Las VLAN no proveen un enfoque holístico en la virtualización de


redes. Esto significa que
• Se necesita configuración en cada circuito físico y virtual para
extender la VLAN.
Solucionan solo la segmentación de las redes de capa 2, lo cual
tiene consecuencias de innecesaria complejidad para otros servi-
cios de red, tales como el ruteado, el firewall y el balanceo de
carga.

La virtualización de la red es mucho más que las VLAN, y hace posi-


ble la creación de redes completas dentro del software, incluida la
conmutación, el ruteado, el firewall y el balanceo de carga, y lo
hace mucho más cerca de la aplicación y orquestando el proceso
por defecto. Este enfoque provee una flexibilidad mucho mayor
que la que era posible en el pasado. Con todos los servicios de red
y de seguridad que se administran con software y que se adjuntan
a la aplicación, los procesos trabajosos de gestión y configuración
se pueden simplificar y automatizar, y se pueden crear redes auto-
máticamente para satisfacer las demandas de carga de trabajo.

La virtualización de redes y las redes


definidas por software
La virtualización de redes puede parecerse a las redes definidas por soft-
ware (SDN), pero ¿cuál es la diferencia? Veamos los dos conceptos.

El término redes definidas por software significa diferentes cosas para


distintas personas, pero todo comenzó con el objetivo de hacer que la
red fuera más ágil mediante la definición de elementos de red dentro del

20 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
software. En este aspecto, la virtualización de redes y el SDN son simi-
lares. La forma en la que se manifiesta el SDN varía ampliamente. En
algunos casos, el objetivo es administrar las configuraciones de los dis-
positivos de la red física. En otros, se trata de lograr la orquestación más
amplia de los servicios de red vinculando múltiples sistemas mediante
API (algunos en software y otros en hardware). En muchos casos, el
hardware sigue siendo la fuerza impulsora de la red, lo cual nos aparta
del objetivo original.

La virtualización de redes tiene una definición más específica y desvin-


cula los servicios de red del hardware subyacente. Los componentes de
la red y sus funciones se replican mediante software. Los principios de
la virtualización se aplican a la infraestructura de la red física para crear
una reserva flexible de capacidad de transporte que puede asignarse,
utilizarse y readaptarse según la demanda.

Con los recursos de red desvinculados de la infraestructura física, bási-


camente no es necesario tocar el hardware subyacente cuando se agre-
gan o actualizan aplicaciones, independientemente de los servicios de
red que estas demanden. Los extremos pueden trasladarse de un domi-
nio lógico a otro sin que se deba realizar ninguna reconfiguración de la
red o cablear conexiones de dominio. La virtualización de red se imple-
menta en una capa virtual dentro del dominio de procesamiento (cerca
de la aplicación) en lugar de hacerlo en los conmutadores de la red.
Como observamos anteriormente, la red física, que aún continúa siendo
fundamental, funciona como un panel de conexión de redirecciona-
miento de paquetes, pero no precisa que se le hagan modificaciones con
cada cambio en la aplicación.

El SDN originalmente compartía el mismo objetivo que la virtualización


de redes (lograr que la red fuera más ágil), pero el SDN es un término
más amplio que abarca varias definiciones, muchas de las cuales están
RECUERDE atadas a arquitecturas de hardware, y muchas de las cuales no virtuali-
zan completamente la red.

Los dispositivos virtuales en comparación


con la integración en la capa virtual
Muchos proveedores de servicios de red y de seguridad se han dado
cuenta de que los servicios que se ofrecían tradicionalmente con un dis-
positivo físico deben estar más próximos a la aplicación para que sean
más ágiles y efectivos. A tal fin, estos proveedores también brindan hoy
opciones virtualizadas. Se habla de ellas como dispositivos virtuales.

CAPÍTULO 2 Ya es hora de virtualizar la red 21

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Los dispositivos virtuales están diseñados, por lo general, para proveer
la funcionalidad de una sola función de red, tales como un ruteador, un
acelerador de red de área amplia (WAN), o un firewall de red, pero en el
factor de forma de una VM dedicada.

A pesar de que cubren necesidades específicas, los dispositivos virtuales


tienen características que difieren de las de un enfoque de virtualización
de redes más amplio. Por empezar, los dispositivos virtuales se ejecutan
como invitados encima de un hipervisor, lo cual limita su rendimiento.
También presentan el desafío de la expansión del dispositivo virtual.
Debido al rendimiento limitado de los dispositivos, tal vez se necesiten
implementar decenas, centenares e incluso miles de dispositivos vir-
tuales para alcanzar la escala del centro de datos en su totalidad. Esto
representa un obstáculo de gasto de capital (CapEx), así como otros
desafíos operativos.

El valor real de la virtualización de redes surge de la integración de todas


las funciones de red en una capa de red virtual integral que incluye un
mecanismo de orquestación (o un controlador) e integración profunda
con la capa de procesamiento virtual (por ejemplo: el hipervisor, la
orquestación del contenedor o la nube). Este enfoque más sofisticado
permite que la red y la gama total de sus funciones sigan a las VM
mientras se trasladan de un servidor a otro. No es necesario reconfigu-
rar ninguna conexión de red porque se realizan mediante software.
Básicamente, la red puede ir a cualquier lugar que esté virtualizado.

Existen otras ventajas en el enfoque intrínsecamente virtual con res-


pecto a la virtualización de las redes. Hablamos de ellos en el Capítulo 3.
Por el momento, solo digamos que este nuevo enfoque hacia las redes
hace que su centro de datos, y la gestión de sus aplicaciones fuera del
centro de datos, sea mucho más ágil. Es como ir de las conexiones
cableadas a las inalámbricas en su red domiciliaria. Usted queda libre de
limitaciones tradicionales.

¿Por qué es el momento apropiado


para la virtualización de redes?
La gente ha hablado de la virtualización de las redes por años. Es hora
de empezar el trayecto: satisfacer las necesidades de las aplicaciones de
hoy.

22 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Aquí le mencionamos algunos de los motivos por los cuales es el
momento apropiado para la virtualización de redes.

Cómo satisfacer las demandas de un


negocio dinámico
En palabras simples, el software es más veloz que el hardware. Es
mucho más sencillo implementar servicios, hacer cambios y regresar a
versiones previas cuando toda la red se encuentra en software. Los
negocios de la actualidad tienen requerimientos que cambian constan-
temente y eso genera demandas cada vez mayores sobre los equipos de
TI para ser capaces de soportar estos cambios. Cuando el entorno de red
se ejecuta exclusivamente mediante software, la adaptación a los cam-
bios es mucho más flexible, lo cual posibilita que las organizaciones de
TI satisfagan las demandas de forma más eficaz.

Cómo incrementar la flexibilidad median-


te la abstracción del hardware
La virtualización de redes traslada la inteligencia desde el hardware
dedicado hasta el software flexible que incrementa la agilidad del equipo
de TI y de la organización. Este concepto es conocido como abstracción.
Para explicar este concepto, comencemos con el mundo bien establecido
de la virtualización de servidores.

Con la virtualización de servidores, una capa de abstracción, o hipervi-


sor, reproduce los atributos del servidor físico (unidad de procesamiento
central [CPU]), memoria de acceso aleatoria [RAM], disco y así por el
estilo) en el software. La abstracción permite que estos atributos se
ensamblen sobre la marcha para producir una VM única.

La virtualización de redes funciona de la misma manera. Con la virtua-


lización de redes, el equivalente funcional de un “hipervisor de red”
reproduce los servicios de red (tales como conmutación, ruteado, con-
trol de acceso, firewall, calidad de servicio [QoS] y balanceado de carga)
en el software. Cuando todo está en formato de software, los servicios
virtualizados se pueden ensamblar para producir una red virtual única
en cuestión de segundos.

Este grado de agilidad es uno de los mayores beneficios de un centro de


datos definido por software (SDDC), que se extiende a la red en la nube
virtual, y que es uno de los argumentos más fuertes de la virtualización
de redes.

CAPÍTULO 2 Ya es hora de virtualizar la red 23

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Cómo incrementar la seguridad por me-
dio de la microsegmentación
Otro argumento a favor de la virtualización de redes está relacionado
con la necesidad de contar con una seguridad más robusta. La virtuali-
zación de redes aumenta la seguridad al servir de cimiento para la
microsegmentación: el uso de detalladas políticas y controles de red para
posibilitar la seguridad de cada aplicación. La microsegmentación le per-
mite envolver cada carga de trabajo con una película protectora de
seguridad y prevenir la propagación lateral de las amenazas. Explica-
mos más sobre este concepto en el Capítulo 4.

Con la virtualización de redes, las redes se aíslan por defecto, lo que


significa que las cargas de trabajo en dos redes no relacionadas no tie-
nen posibilidad de comunicarse entre sí. El aislamiento es fundamental
para la seguridad de las redes, ya sea por motivos de cumplimiento
normativo, de contención, o simplemente para evitar que los entornos
de desarrollo, ensayo y producción interactúen. Cuando se crean redes
virtuales, estas permanecen aisladas unas de otras a menos que usted
decida conectarlas. Para hacer posible este aislamiento, dichas redes no
precisan de ninguna subred física, ni de VLAN, ni de listas de control de
acceso (ACL) ni de ninguna configuración de firewall físico.

Las redes virtuales también están aisladas de la red física subyacente.


Este aislamiento no solo desvincula las modificaciones dentro de una
red virtual para que no afecten a otra, sino que además protege la
infraestructura física subyacente contra los ataques que se lancen desde
cargas de trabajo ubicadas en cualquier lugar de sus redes virtuales. Una
vez más, no se requiere ninguna VLAN, ni ACL, ni reglas de firewall
para crear este aislamiento. Simplemente así son las cosas con la vir-
tualización de redes.

UNA MIRADA MÁS PROFUNDA


A LA MICROSEGMENTACIÓN
Para sumergirse de lleno en el concepto de microsegmentación,
descargue una copia de Micro-segmentation For Dummies
(Microsegmentación para principiantes) de Wiley en www.vmware.
com/go/MicrosegmentationForDummies.com. Este libro con-
ciso, auspiciado por VMware, brinda una mirada detallada a los
conceptos, las tecnologías y los beneficios de la microsegmenta-
ción con la familia VMware NSX.

24 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Cómo establecer una plataforma para el
centro de datos definido por software
Como vimos en el Capítulo 1, el SDDC es un marco muy necesario para
lograr mayor agilidad de TI y un servicio de entrega de TI con más res-
puesta, todo esto a un costo menor dentro del centro de datos, y la red
en la nube virtual extiende estos conceptos a las aplicaciones en todas
partes.

La virtualización de redes es una arquitectura transformadora que hace


posible la creación y el funcionamiento de redes completas en paralelo
encima del hardware de red existente. Esto produce una implementa-
ción más rápida de cargas de trabajo, así como una mayor agilidad y
seguridad en el contexto de centros de datos, nubes y nodos periféricos
cada vez más dinámicos.

Un replanteamiento de la red
Aunque aprovecha el hardware de red actual, la virtualización de redes
es esencialmente un nuevo enfoque hacia el trabajo en red. Esto signi-
fica que usted debe pensar acerca de su red de nuevas formas. En el
pasado, las funciones de red giraban en torno al hardware. Hoy, todas
ellas cuentan con la flexibilidad del software.

Un mundo virtualizado debería permitirle tomar una red entera, con


todas sus configuraciones y funciones, y duplicarla en el software.

Debería ser capaz de crear y hacer funcionar su red virtualizada en


paralelo con su hardware de red existente. Una red virtual puede crearse,
guardarse, eliminarse y restaurarse tal como se haría con las VM, pero,
SUGERENCIA
en este caso, se ejecuta con toda la red.

En términos más específicos, una red virtualizada le da la capacidad de:

RECUERDE
»» Desvincular la red del hardware subyacente y aplicar principios
de virtualización a la infraestructura de red.
»» Crear una reserva flexible de capacidad de transporte que
puede asignarse, utilizarse y readaptarse a pedido.
»» Implementar redes en software que estén totalmente aisladas
entre sí y que también lo estén de otros cambios en el centro de
datos.
»» Transferir, mover y replicar la red, tal como lo hace con sus
recursos de procesamiento y de almacenamiento.

CAPÍTULO 2 Ya es hora de virtualizar la red 25

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Poner a disposición una funcionalidad de red uniforme en
cualquier lugar de su empresa.

Así que, ¿cómo se llega a ese punto? Tratamos esa parte de la historia en
el Capítulo 3, donde exploramos las tecnologías detrás de la transfor-
mación de las redes.

26 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
EN ESTE CAPÍTULO
»» Se describe la funcionalidad de una
red virtualizada
»» Se presentan las tecnologías de
virtualización de redes
»» Se describen las características
principales de una red virtualizada
»» Se exploran los beneficios
funcionales y económicos

Capítulo  3
La transformación
de la red

E
n los capítulos anteriores, hemos presentado la virtualización de
redes y la hemos descrito de manera rápida. En este capítulo,
ahondamos en las tecnologías que se precisarán para llevar los
beneficios de la virtualización al entorno de trabajo en red.
Comenzaremos presentando los conceptos sobre los que se basa la vir-
tualización de redes y concluiremos con los detalles de VMware NSX
Data Center, una plataforma de virtualización de redes multinube y
multihipervisor.

Las funcionalidades clave de


una red virtualizada
Algunas de las funcionalidades clave de una red virtualizada incluyen
las redes por superposición, así como las funciones tradicionales con las
cuales probablemente está más familiarizado, tales como el ruteado y el
balanceo de cargas, las cuales se realizan ahora con software, más cerca
de la aplicación.

CAPÍTULO 3 La transformación de la red 27

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Las redes superpuestas
La virtualización de redes utiliza tecnologías de superposición (overlay)
que se asientan sobre el hardware de la red física y hacen posible una
red lógica, tal como se muestra en la Figura 3-1.

Egreso VM
/24
1.1.1.0
L2
o
Ingres L2)
gico (
VM utador ló
Conm

FIGURA 3-1: Redes lógicas mediante el uso de superposición.

Las redes superpuestas hacen posible que se ejecuten redes íntegra-


mente mediante software, abstraídas de la infraestructura de la red
física de soporte. En el caso de la red del centro de datos, estas redes
superpuestas crean túneles entre los extremos dentro de la capa
virtual.

Flujo de paquetes de emisor a receptor


Como apuntamos en otra sección, las redes virtuales utilizan la red
física subyacente como panel de conexión para redireccionamiento de
paquetes y trasladan las decisiones de red más sutiles a las proximida-
des de la aplicación. Cuando los extremos de una aplicación (por ejem-
plo, dos máquinas virtuales [VM]) se comunican entre sí, el paquete se
encapsula con la dirección del protocolo de internet (IP) del extremo
virtual de destino. La red física provee el marco al host de destino o
hipervisor, el cual puede quitar el encabezado exterior, y luego la ins-
tancia de conmutador virtual local provee el marco al extremo de la
aplicación de destino.

De esta manera, la comunicación emplea la red física subyacente como


un simple panel de conexión de IP; uno que no requiere demasiada
complejidad como el protocolo de árbol de expansión (STP) o las listas
de control de acceso (ACL), ya que la plataforma de virtualización de
redes puede realizar todo esto más cerca de la aplicación. Este enfoque
simplifica considerablemente la gestión de la configuración y elimina
los cambios en la red física provenientes del proceso de aprovisiona-
miento de la red, lo cual es un alivio bastante grande.

28 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Tecnologías de superposición
Existen diversas tecnologías de superposición, u overlay. Una tecnología
estándar en la industria se llama red de área local expansible virtual
(VXLAN). La VXLAN brinda un marco para superponer redes virtualiza-
das de capa 2 sobre redes de capa 3, definiendo tanto un mecanismo de
encapsulamiento como un plano de control. Otra tecnología es el encap-
sulamiento de virtualización de redes genérico (GENEVE), que toma los
mismos conceptos pero los hace más extensibles por ser flexible a los
mecanismos de plano de control múltiple.

Hay otras tecnologías más, incluida la virtualización mediante encap-


sulamiento de ruteado genérico (NVGRE). El NVGRE es parecido al
VXLAN en sus objetivos, pero emplea diferentes enfoques en la creación
de la superposición. El NVGRE ha tenido una adopción limitada en com-
paración con el auge de la VXLAN y del GENEVE.

Una breve introducción sobre


VXLAN y GENEVE
Esta sección lo introduce a la VXLAN y al GENEVE: en qué se asemejan
y en qué se diferencian.

Encapsulamiento
Tanto la VXLAN como el GENEVE son tecnologías de superposición que
encapsulan los marcos Ethernet originales generados por las cargas de
trabajo (virtuales o físicas) que están conectadas al mismo segmento
lógico de capa 2 llamado, por lo general, conmutador lógico. Ambas son
también tecnologías de encapsulamiento de la capa  2 sobre la capa  3
(L2oL3). El marco Ethernet original generado por una carga de trabajo
se encapsula con un encabezado externo, seguido por el protocolo de
datagrama del usuario (UDP), la IP y los encabezados de Ethernet para
garantizar que sea transportado a través de la infraestructura de la red
que interconecta los extremos de la VXLAN o del GENEVE (usualmente
el extremo de la aplicación, como por ejemplo una VM o un pod
contenedor).

Escalabilidad
Ir más allá de la limitación de las 4096 redes de área local virtual (VLAN)
en los conmutadores tradicionales se puede lograr aprovechando un
identificador de 24 bits denominado VNI (identificador de red VXLAN, o
identificador de red virtual en GENEVE), el cual se asocia con cada seg-
mento de capa  2 creado en el espacio lógico. Este valor se transporta
dentro del encabezado de superposición y comúnmente está asociado
con una subred IP, parecido a lo que sucede con las VLAN tradicionales.

CAPÍTULO 3 La transformación de la red 29

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
La comunicación de subred intra IP se produce entre los dispositivos
conectados a la misma red virtual (conmutador lógico).

Cómo atravesar la red


El desglose de los encabezados de capa 2, capa 3 y capa 4 que está pre-
sente en el marco Ethernet original se realiza a fin de inferir el valor del
puerto fuente para el encabezado UDP externo. Esto es importante para
asegurar el balanceo de carga del tráfico de superposición a través de
rutas de iguales costos potencialmente disponibles dentro de la infraes-
tructura de la red de transporte.

Cómo terminar los túneles


Las direcciones IP de origen y de destino utilizadas en el encabezado IP
externo identifican exclusivamente los hosts que originan y finalizan el
encapsulamiento de superposición de los marcos. Esta funcionalidad se
halla dentro del extremo del túnel (en el GENEVE) o dentro del extremo
del túnel VXLAN (VTEP, en la VXLAN).

Tamaño del marco


El encapsulamiento del marco Ethernet original dentro de un paquete
UDP aumenta el tamaño del paquete IP. Esto genera uno de los pocos
requisitos que se le exigen a la infraestructura de red física: Se reco-
mienda incrementar el tamaño de la unidad de transmisión máxima
(MTU) a un mínimo de 1700 bites en todas las interfaces que transpor-
tarán tráfico de red superpuesta. La MTU para los vínculos superiores
de conmutador virtual de los extremos del túnel que realizan el encap-
sulamiento VXLAN o GENEVE se incrementa automáticamente cuando
el extremo del túnel se prepara para la VXLAN o el GENEVE.

La Figura 3-2 describe (en un nivel elevado) los pasos que se requieren
para establecer comunicaciones de capa 2 entre los extremos de la apli-
cación aprovechando la funcionalidad de superposición de, digamos,
dos VM que se comunican mediante una VXLAN:

»» La VM1 genera un marco con destino a la parte de la VM2 del


mismo segmento lógico de capa 2 (subred IP).
»» El VTEP de origen identifica el VTEP de destino donde está
conectada la VM2 y encapsula el marco antes de enviarlo a la
red de transporte.
»» La red de transporte solo precisa habilitar la comunicación IP
entre los VTEP de origen y de destino.
»» El VTEP de destino recibe el marco VXLAN, lo desencapsula e
identifica al segmento de capa 2 al que pertenece.
»» El marco es enviado a la VM2.
30 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Conmutador virtual Conmutador virtual

VM1 Red de transporte VM2


Hipervisor Hipervisor
(extremo de túnel) (extremo de túnel)
Super- HDR HDR de
Marco L2 Marco L2 posición UDP de IP MAC Marco L2
HDR HDR exterior
exterior

1 2 3 4 5
VM envía un El hipervisor de origen La red de transporte El hipervisor de destino Marco L2 original
marco L2 estándar (extremo del túnel) añade físico envía un marco (extremo del túnel) enviado a la VM
sobrecapa, UDP y como marco IP reencapsula los
encabezados IP estándar encabezados

FIGURA 3-2: Cómo establecer comunicación de capa 2 entre distintas VM con VXLAN.

LA VIRTUALIZACIÓN DE REDES EN
ACCIÓN: UN EJEMPLO
Aquí le presentamos uno de los muchos posibles ejemplos de cómo la
virtualización de redes hace más fácil la vida para sus administradores
de seguridad y de red.

La comunicación en una red convencional puede ser ineficiente cuando


se aplican servicios tales como el cortafuegos. El tráfico debe ser ruteado
fuera del entorno virtual, atravesando el cortafuegos físico, y luego debe
ser redireccionado de regreso al entorno virtual. Este proceso se conoce
como hairpinning (sujetar con horquillas) o tromboning (tocar el trom-
bón): básicamente, sale para volver a ingresar incluso antes de llegar a
destino. Esto añade complejidad y latencia, disminuye el rendimiento y
aumenta la inestabilidad, y dificulta que los extremos de la aplicación se
trasladen.

En cambio, cuando los servicios de red están integrados en una capa de


virtualización de red, no existe la necesidad de estos procedimientos.
Estos conceptos se ilustran en la siguiente figura.

Firewall este-oeste/mismo host Firewall este-oeste/host a host


Antes de NSX Data Center Antes de NSX Data Center Antes de NSX Data Center Con NSX Data Center
Firewall virtual distribuido Firewall virtual distribuido
Conmutador de espina Conmutador de espina Conmutador de espina Conmutador de espina

Conmutador Conmutador Conmutador Conmutador


Conmutador Conmutador Conmutador Conmutador tipo hoja A tipo hoja B tipo hoja A tipo hoja B
tipo hoja A tipo hoja B tipo hoja A tipo hoja B

Servidor Blade1 Servidor Blade1 Servidor Blade2 Servidor Blade1 Servidor Blade2
Servidor Blade1
Conmutador Conmutador Conmutador
Conmutador
virtual virtual virtual
virtual

Conmutador
virtual VM
VM VM VM VM VM VM VM

6 circuitos cableados 0 circuitos cableados 6 circuitos cableados 2 circuitos cableados

CAPÍTULO 3 La transformación de la red 31

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Las funciones de una red virtual
El trabajo en red por superposición es muy poderoso, pero es solo una
parte de la virtualización de redes. La superposición básicamente le
posibilita tomar decisiones sobre la red utilizando software, dentro de
una capa virtual, que ha sido abstraído del hardware físico con todos los
beneficios que ello implica. ¿Y luego qué sigue? ¿Cómo son esas decisio-
nes? Ese es el momento en el que las funciones de la red virtual entran
en acción. De hecho, muchas de ellas pueden ser beneficiosas sin
implementar la superposición de redes.

¿De qué funciones estamos hablando? Bueno, la forma en la que el tra-


bajo en red IP se realiza no está cambiando necesariamente, así que aún
va a necesitar un ruteador en el espacio virtual. Como usted está apro-
ximando la red a la aplicación, esta última se beneficiará también de un
modelo nuevo de balanceo de carga. Pueden ser funciones centralizadas
(piense en un solo ruteador) o funciones distribuidas (como se ha hecho
por años con la conmutación virtual distribuida). Finalmente, algo que
en verdad ha revolucionado la seguridad es el cortafuegos virtual distri-
buido. Abordamos cada una de estas funciones a medida que explora-
mos arquitecturas y casos de uso.

Funciones de Red Virtual, con F mayúscula, R mayúscula y V mayúscula


(o VNF en inglés), es un término fundamental en el campo de la virtua-
lización de funciones de red (NFV). Este campo se ocupa de la virtuali-
ASPECTOS zación de las funciones de la red física que las redes de los proveedores
TÉCNICOS
de servicios y las redes de las empresas de telefonía móvil necesitan. De
hecho, es muy similar a la manera en la que las funciones están trasla-
dándose al software dentro del espacio del centro de datos y otros luga-
res, pero también es diferente en muchas formas. Por lo tanto, vale la
pena aclarar que no estamos hablando necesariamente de NFV, aunque
estemos considerando el traslado de las funciones al software.

El gran beneficio
La virtualización de la red ayuda a que las organizaciones logren gran-
des avances en velocidad, agilidad y seguridad mediante la automatiza-
ción y simplificación de muchos de los procesos que conlleva la
operación de una red de centro de datos y la gestión y la seguridad de
redes dentro de la nube.

A continuación presentamos un breve listado de los beneficios más


importantes que nos trae este nuevo enfoque al trabajo en red. La vir-
tualización de redes le ayuda a:

32 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Reducir el tiempo de aprovisionamiento de red de semanas a
minutos.
»» Lograr una eficiencia operativa mayor mediante la automatiza-
ción de procesos manuales.
»» Colocar y trasladar cargas de trabajo independientemente de la
topología física.
»» Mejorar la seguridad de la red dentro del centro de datos.

Le presentamos VMware NSX Data


Center: Cómo llevar la virtualización de
redes al SDDC
Primero, una definición sencilla: VMware NSX es una familia de pro-
ductos de trabajo en red de VMware que sirven para producir la virtua-
lización desde el centro de datos a la nube y hasta la periferia. VMware
NSX es la plataforma de virtualización de redes para el centro de datos
definido por software (SDDC). NSX Data Center reproduce el modelo de
red completo en formato de software. Este modelo extremo a extremo
posibilita cualquier topología de red, desde las más sencillas hasta las
complejas redes multinivel, para que se pueda crear y aprovisionar en
segundos. Presenta todas las bondades de la virtualización de redes que
hemos abordado hasta el momento y otras más que trataremos más
adelante.

A la vez que incrementa la agilidad y simplifica el enfoque hacia las


redes, NSX Data Center fortalece la seguridad en el interior del centro de
datos. Estas ventajas de seguridad son provistas mediante políticas
automatizadas detalladas que envuelven cada extremo de la aplicación
con controles de seguridad. Se trata de un enfoque totalmente nuevo.
Permite contar con una red intrínsecamente segura, ya que previene los
ataques que se trasladan de forma lateral dentro del centro de datos y
que saltan de una carga de trabajo a la otra con muy pocos controles que
bloqueen su propagación o incluso ninguno. Con NSX Data Center, las
cargas de trabajo se pueden aislar una de la otra, como si estuvieran
cada una en una red propia.

¿Cómo funciona?
En esta sección, quitamos la traba y le damos la oportunidad de mirar
debajo del capó de VMware NSX Data Center.

CAPÍTULO 3 La transformación de la red 33

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Arquitectura de NSX Data Center
El enfoque de NSX hacia la virtualización de redes en el centro de datos
le permite tratar a su propia red física como una reserva de capacidad de
transporte que se puede consumir y readaptar según la demanda. Las
redes virtuales se crean, se aprovisionan y se gestionan mediante soft-
ware, utilizando su red física como un simple panel de conexión para el
redireccionamiento de paquetes.

Los servicios de redes virtualizadas se distribuyen a cada extremo de la


aplicación independientemente del hardware de red o la topología sub-
yacentes. Esto quiere decir que las cargas de trabajo pueden agregarse o
eliminarse sobre la marcha y que todos los servicios de red y de seguri-
dad vinculados a la aplicación se mueven junto con esta a cualquier
lugar dentro del centro de datos. Sus aplicaciones actuales operan sin
modificaciones. No notan la diferencia entre una red virtual y una cone-
xión de red física.

Integración con la infraestructura


de red existente
NSX Data Center funciona con su infraestructura de procesamiento y de
red existente, y con sus aplicaciones y productos de seguridad actuales.
Puede implementar este producto sobre su infraestructura actual sin
interrupciones de servicio.

Mejor aún, NSX Data Center no tiene un enfoque de “todo o nada”. No


es necesario que virtualice toda su red. Usted cuenta con la flexibilidad
de virtualizar porciones de su red simplemente añadiendo hipervisores,
hosts bare-metal e incluso nubes a la plataforma NSX.

El trabajo en red se simplifica


Una vez que NSX Data Center es implementado, se necesita poca inte-
racción con la red física. Ya no necesita lidiar con las configuraciones de
la red física o de las VLAN, las ACL, los árboles de expansión, los com-
plejos conjuntos de reglas de los cortafuegos y los intrincados patrones
de tráfico “hairpinning”; porque ya no hacen falta cuando la red está
virtualizada.

A medida que implemente las redes virtuales NSX, puede simplificar


cada vez más la configuración y el diseño de su red física. La dependen-
cia del proveedor se vuelve una cosa del pasado porque la red física solo
RECUERDE necesita proveer un redireccionamiento confiable de paquetes a alta
velocidad. Esto significa que puede combinar y mezclar hardware de
diferentes líneas de productos y proveedores.

34 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Cómo aprovechar un ecosistema de trabajo en
red y capacidades de seguridad más amplias
NSX Data Center es extremadamente flexible, altamente extensible y
cuenta con un amplio soporte. Una poderosa capacidad de conducción
de tráfico, denominada inserción de servicios, le permite vincular cual-
quier combinación de servicios de red y de seguridad en cualquier orden.
Todo se define por las políticas de aplicación que usted establece para
cada carga de trabajo.

Este alto grado de flexibilidad se aplica no solo a los servicios nativos de


NSX Data Center, sino también a una amplia variedad de soluciones de
terceros compatibles, incluidas las instancias virtuales y físicas de
firewall de avanzada, controladores de entrega de aplicaciones y siste-
mas de prevención de intrusión.

Demos un paso atrás y echemos una mirada a un panorama mayor. La


disponibilidad de tantos productos compatibles con NSX desarrollados
por socios de VMware es una señal del apoyo de la industria a este nuevo
modelo operativo de la plataforma de NSX Data Center. Esto le brinda
una mayor confianza al ingresar al mundo de las redes virtualizadas.
Usted cuenta con un amplio ecosistema a su lado. Para conocer más
detalles, lea el Capítulo 6 y la sección “Cómo integrarse con sus socios
del ecosistema de servicios de red”.

Lo que hace: Capacidades


clave de NSX Data Center
Observemos algunas de las capacidades técnicas principales de VMware
NSX Data Center. Al empezar, tenga esto en mente: NSX Data Center
virtualiza todas las funciones de red. Además, muchas funciones que se
describen y muchas otras que no se incluyen aquí están disponibles
mediante otros socios del ecosistema. En este sentido, NSX es como una
capa mágica que habilita un espectro de capacidades en todo su entorno.

Todo en el software
Aquí presentamos algunas de las características principales de VMware
NSX Data Center.

RECUERDE »» Conmutación lógica distribuida: NSX Data Center le permite


reproducir por completo la funcionalidad de conmutación de
capa 2 y capa 3 en un entorno virtual, desvinculada del hard-
ware subyacente.

CAPÍTULO 3 La transformación de la red 35

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Portal NSX: Este portal de capa 2 posibilita la conexión ininte-
rrumpida con las cargas de trabajo físicas y las VLAN heredadas.
»» Ruteado lógico: El ruteado entre conmutadores lógicos provee
un ruteado dinámico entre diferentes redes virtuales.
»» Cortafuegos lógico distribuido: NSX Data Center le permite
crear un firewall distribuido integrado a la capa de red virtual y
cubrir cada carga de trabajo con funciones de seguridad. Esto se
completa con la identificación de aplicaciones de capa 7, así
como con firewalls basados en el usuario.
»» Balanceador lógico de carga: El centro de datos provee un
balanceador de carga con todas las funciones y con terminación
SSL.
»» VPN lógica: NSX Data Center soporta redes privadas virtuales
(VPN) de sitio a sitio y de acceso remoto en formato de software.
»» API NSX: Esta API con REST (transferencia de estado representa-
tivo) permite su integración en cualquier plataforma de gestión
en la nube.
»» Integración con plataformas de gestión en la nube: La
integración se habilita con automatización completamente lista a
través de plataformas tales como OpenStack o VMware vRealize
Automation.
»» Inserción de servicios: NSX Data Center le permite insertar
funciones de servicios de terceros, no solo como una llamada API
hacia el norte, sino como un servicio encadenado para cada flujo
de paquete.
»» Trabajo en red y seguridad multisitio y multinube: Puede
expandir estos conceptos fuera de un único dominio de centro
de datos a múltiples sitios y nubes.
»» Herramientas de planificación, de visibilidad y operativas:
Herramientas como Application Rule Manager le permiten
capturar el tráfico y usar esta visibilidad para crear políticas de
red, mientras que Traceflow le ayuda a acompañar el recorrido
de un paquete, por ejemplo, para fines de depuración.

Servicios esenciales de aislamiento,


segmentación y seguridad avanzada
Todos los años, las empresas invierten miles de millones de dólares
para asegurar los perímetros de sus centros de datos. Y adivine qué
sucede. Las filtraciones continúan aumentando. Aunque es una parte

36 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
esencial de la estrategia de seguridad, la protección del perímetro no
hace todo lo que usted necesita. Requerimos un nuevo modelo de segu-
ridad del centro de datos. La microsegmentación, un concepto que pre-
sentamos en el Capítulo 2, ofrece dicho modelo.

NSX Data Center lleva la seguridad al interior del centro de datos con
detalladas políticas automatizadas que están atadas a los extremos de la
aplicación, tales como las VM. Las políticas de seguridad de la red se
aplican mediante controles de cortafuegos integrados a la capa virtual,
como lo es el hipervisor, que ya están distribuidos en todo el centro de
datos. Como ejemplo, el hipervisor sirve como un lugar ideal para hacer
cumplir esas políticas: está cercano a la aplicación y, al mismo tiempo,
aislado de ella. Estas políticas de seguridad se mueven junto con las VM
y se adaptan dinámicamente a las modificaciones en su centro de datos.

Las redes virtuales pueden operar en sus propios espacios de direccio-


nes o tener espacios de direcciones superpuestos o duplicados; todo esto
sin que interfieran la una en la otra. Por defecto, las redes virtuales
están intrínsecamente aisladas de todas las demás redes virtuales y de
la red física subyacente. Cada red virtual es como una isla dentro del
mar del centro de datos. Este enfoque le permite aislar con seguridad las
redes. Al final, usted obtiene un modelo de seguridad intrínsecamente
mejor para su centro de datos. El software dañino que se infiltra a través
del cortafuegos ya no puede saltar libremente de un servidor a otro.

Por supuesto, nada de esto significa que usted deba abandonar sus
soluciones de seguridad de red favoritas. NSX Data Center es una plata-
forma que le permite llevar las soluciones más avanzadas de la industria
en redes y seguridad al interior del SDDC. Gracias a una estrecha inte-
gración con la plataforma de NSX Data Center, los productos y las solu-
ciones de otros proveedores se pueden implementar según lo necesite y
pueden adaptarse dinámicamente a las condiciones cambiantes dentro
de su centro de datos.

Estas capacidades de virtualización de redes hacen posibles las tres fun-


ciones clave de la microsegmentación:

RECUERDE »» Aislamiento: No hay comunicación entre redes no


relacionadas.
»» Segmentación: La comunicación dentro de la red es
controlada.
»» Seguridad con servicios avanzados: Es posible gracias a una
estrecha integración con soluciones de seguridad de terceros.

CAPÍTULO 3 La transformación de la red 37

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Rendimiento y escala
NSX Data Center provee un rendimiento y una escala comprobadas.
Como las funciones de red están incrustadas en la capa virtual, NSX
Data Center presenta una arquitectura de escalamiento horizontal que
permite un escalamiento ininterrumpido de capacidad adicional a la vez
que provee una disponibilidad y una confiabilidad sólidas.

Aquí tenemos un ejemplo de la escalabilidad extrema de NSX Data Cen-


ter: En una implementación de la vida real de NSX Data Center, se está
utilizando un solo clúster de controladores para proveer más de
10.000 redes virtuales, que a su vez soportan más de 100.000 máquinas
virtuales. Esto no es necesario ni tiene sentido para la mayoría de las
redes, pero muchas tienen limitaciones de escalabilidad que ahora pue-
den ser superadas.

Dentro del entorno de NSX Data Center:

ASPECTOS »» El procesamiento necesario para la ejecución de servicios


TÉCNICOS distribuidos de red es progresivo según lo que el vSwitch ya esté
haciendo para las cargas de trabajo conectadas.
»» El vSwitch es un módulo que está integrado con el núcleo del
hipervisor, junto con todos los servicios de red y seguridad de
NSX Data Center.
»» La capacidad de transporte de la red virtual escala en forma
lineal (junto con el extremo de la aplicación o la capacidad de la
VM) con la introducción de cada hipervisor/host nuevo, y añade
20 Gbps de capacidad de conmutación y ruteado y 19.6 Gbps
de capacidad de cortafuegos.

Visibilidad de red sin comparación


NSX Data Center lleva visibilidad a la red a un nivel sin precedentes. Con
los enfoques convencionales respecto del trabajo en red, el estado de
configuración y el estado de redireccionamiento se propagan a muchos
dispositivos de la red sin razón. Esta fragmentación puede nublar su
visión y complicar la detección de fallas.

En cambio, NSX Data Center brinda información de configuración y de


estado para todas las conexiones y servicios en un solo lugar. El estado
de conectividad y los registros de todos los componentes y elementos de
la red virtual de NSX Data Center (conmutadores lógicos, ruteadores y
otros por el estilo) son de fácil acceso, así como lo es el mapeo entre las
topologías de red virtual y la red física subyacente. Esto permite una
completa visibilidad del tráfico entre los extremos de la aplicación,

38 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
incluso cuando las VM o contenedores que se están comunicando están
en el mismo host y el tráfico de la red nunca alcanza la red física.

Mejor todavía, con NSX Data Center, puede tener acceso a herramientas
de detección de fallas modernas tales como Traceflow. Esta función
inyecta un paquete sintético dentro de un puerto de un conmutador
RECUERDE virtual, y brinda la posibilidad de observar el recorrido que realiza el
paquete dentro de la red a medida que atraviesa los sistemas de red
física y lógica. Esto permite a sus administradores identificar la ruta
completa que toma un paquete y efectuar pruebas para detección de
fallas en cualquier punto del recorrido hacia donde se envía el paquete,
por ejemplo, por causa de las políticas del cortafuegos.

Este grado de visibilidad no es posible si se está operando con hardware


de red física tradicional, y definitivamente sería imposible con las redes
físicas en situaciones en las que dos VM se comunican en el mismo
host.

Beneficios principales de NSX Data


Center
Nos estamos acercando a la mejor parte. Esta sección se centra en algu-
nas formas en las que su organización puede aprovechar las capacida-
des de la virtualización de redes con VMware NSX Data Center. Se puede
dividir la cuestión en dos campos: beneficios funcionales y beneficios
económicos.

Beneficios funcionales
Los beneficios funcionales de NSX Data Center se apoyan en los cuatro
pilares del SDDC: velocidad, agilidad, seguridad y confiabilidad. Estos
beneficios se logran:

»» Con la creación de redes completas en software en tan solo


segundos: El centro de datos NSX lo equipa a usetd con una
biblioteca de elementos y servicios lógicos de red, tales como
conmutadores, ruteadores, cortafuegos, balanceadores de
carga, VPN y seguridad de carga de trabajo. Usted puede
mezclar y combinar estos componentes para crear topologías
de red virtual aisladas en segundos.
»» Reduciendo al mínimo el riesgo y el impacto de las filtracio-
nes de datos: Puede usar NSX Data Center para aislar cargas
de trabajo, cada una con sus propias políticas de seguridad. Esta
capacidad le ayuda a contener las amenazas y a bloquear el

CAPÍTULO 3 La transformación de la red 39

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
movimiento de software dañino dentro de su centro de datos.
Una mejor seguridad interna puede ayudarlo a evitar o reducir
los costos que producen las filtraciones de información.
»» Con la aceleración de la entrega de servicios de TI y del
tiempo de comercialización: Con la virtualización de redes
puede reducir el tiempo necesario para aprovisionar servicios
de red y de seguridad multinivel de semanas a minutos.
Algunas empresas utilizan NSX Data Center para dar a los
equipos de aplicación capacidades de aprovisionamiento de
autoservicio total. Mejor aún, las capacidades de automatiza-
ción y orquestación de NSX Data Center le permiten evitar el
riesgo de los errores de configuración manuales.
»» Con la simplificación de los flujos de tráfico: Puede usar el
centro de datos NSX para disminuir la carga del tráfico entre
servidores (tráfico este-oeste) en el sobredemandado núcleo.
Con una red virtual las VM se comunican entre sí mediante el
vSwitch o la estructura de agregación. Esto genera reducciones
en los circuitos de tráfico este-oeste y le ayudan a evitar las
deficiencias de los patrones intrincados de tráfico. La idea es
hacer un mejor uso de sus activos actuales y evitar los costos de
incrementar la capacidad básica con más hardware.
»» Incrementando la disponibilidad del servicio: Los centros de
datos de escala de nube tienen pocos cortes de servicio porque
poseen estructuras más planas con ruteado multirruta de
costos equivalentes entre cualesquier puntos de la red. Las
estructuras nervadas simplificadas hacen que los enlaces o los
dispositivos individuales sean irrelevantes. La red puede
soportar múltiples fallas de dispositivos en simultáneo sin sufrir
cortes. Con las capacidades de la virtualización de redes de NSX
Data Center, puede lograr el mismo alto nivel de disponibilidad
en su propio centro de datos.

Beneficios económicos
Los beneficios económicos de la virtualización de redes con NSX Data
Center se concretan en el ahorro en gastos de capital y gastos
operativos:

»» Reducción del riesgo de filtraciones costosas:


Históricamente, la implementación de cortafuegos para
controlar un creciente volumen de tráfico este-oeste dentro del
centro de datos ha sido algo prohibitivo para muchas empresas
a causa de su costo. Es más, la gran cantidad de dispositivos

40 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
que hacen falta y el esfuerzo que se requiere para implantar y
gestionar una compleja matriz de reglas de cortafuegos hacen
que este enfoque no sea factible operativamente. Las capacida-
des de microsegmentación que conlleva la virtualización de
redes hacen que esto no solo sea posible de realizar sino,
además, posible de pagar. Ahora puede reducir el riesgo de
fallas de seguridad entre centros de datos a la vez que evita
grandes gastos de capital en hardware y software adicional.
»» Reducción de tiempo y esfuerzo: La virtualización de redes
puede disminuir significativamente el esfuerzo y el tiempo que
se invierten en completar las tareas de red. Por lo general, NSX
Data Center reduce el esfuerzo necesario de horas a minutos y
los ciclos de tiempo de días a minutos. Si tiene en cuenta todas
las tareas manuales necesarias para el aprovisionamiento y la
gestión de una red física (a lo largo de los entornos de desarro-
llo, ensayo, prueba y producción) y el hecho de que NSX Data
Center puede automatizarlas, usted comenzará a ver una gran
cantidad de oportunidades de reducir los costos operativos.
»» Mejoramiento del uso de los activos de los servidores: En las
topologías tradicionales, cada clúster de red tiene su propia
capacidad de procesamiento. Los administradores de TI a
menudo aprovisionan en exceso las computadoras para evitar
la larga reconfiguración de red tan propensa a errores y que
hace falta para alcanzar la capacidad disponible en otro clúster.
NSX Data Center le ofrece una manera mejor de hacer las cosas.
Puede utilizar NSX Data Center para conectar dos o más
clústeres de red e implementar cargas de trabajo para la
capacidad no utilizada. Al hacer un mejor uso de la capacidad
de los servidores existentes, puede evitar la necesidad de
comprar servidores físicos nuevos.
»» Mejoramiento de los ahorros de precio/rendimiento:
Muchas empresas están utilizando las capacidades de NSX Data
Center y de la virtualización de redes para reemplazar el
hardware propio y costoso por infraestructura de bajo costo
que se puede adquirir de diferentes proveedores: quien ofrezca
la mejor relación entre precio y rendimiento.

Extensión del ciclo de vida del hardware: Puede utilizar NSX Data Center
para extraer aún más valor de su infraestructura de red existente. Puede
hacerlo así: NSX Data Center descarga un volumen creciente de tráfico
este-oeste proveniente del núcleo de la red. Esto le permite expandir la
vida útil de su hardware sin necesidad de agregar capacidad costosa.

CAPÍTULO 3 La transformación de la red 41

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Con NSX Data Center, el hardware de red subyacente se convierte en un
simple panel de conexión de redireccionamiento IP. En lugar de renovar
su equipamiento de red al final del ciclo de amortización contable,
puede usarlo por períodos más largos. Con este enfoque, usted pondrá
sus manos sobre el hardware solo para agregar capacidad o para reem-
plazar dispositivos individuales cuando fallen.

42 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
EN ESTE CAPÍTULO
»» Una reevaluación de la seguridad
»» El impulso de la automatización
»» Cómo entender la red multinube

Capítulo  4
Casos de uso de la
virtualización de redes

L
a virtualización de redes mejora el statu quo tanto en profundidad,
porque produce un gran impacto, como en amplitud, a lo largo de
numerosas categorías. En este capítulo, recorreremos algunas de
esas categorías y brindaremos algunos ejemplos de cómo se está
implementando la virtualización de redes.

A medida que exploramos estos casos de uso, tenga presente que: Como
lo indicamos en el Capítulo 3, la virtualización mediante NSX Data Cen-
ter no es un enfoque de todo o nada. No es necesario que virtualice toda
RECUERDE su red. Puede virtualizar algunas porciones de su red para casos de uso
específicos y luego expandir el uso de la virtualización con el pasar del
tiempo.

Y aquí le dejamos un dato genial: las empresas a menudo logran justi-


ficar el costo de NSX Data Center con un solo caso de uso. Mientras
tanto, establecen una plataforma estratégica que automatiza la TI y
promueve casos de uso y proyectos adicionales con el tiempo.

En las secciones siguientes, profundizamos dentro de algunos de los


casos de uso más comunes a fin de mostrar de qué manera se puede
utilizar la virtualización de redes para acelerar los procesos, fortalecer la
seguridad y mantener las aplicaciones funcionando.

CAPÍTULO 4 Casos de uso de la virtualización de redes 43

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Cómo asegurar el centro de datos
Como aclaramos en otra parte del libro, la seguridad es una preocupa-
ción enorme y en constante aumento para las empresas. La virtualiza-
ción de redes brinda una capa ideal para la seguridad (próxima pero
aislada de las aplicaciones) que admite una nueva arquitectura de
infraestructura con seguridad intrínseca, lo cual mitiga dramática-
mente los riesgos de filtraciones de información.

Microsegmentación: Cómo limitar


el movimiento lateral dentro del
centro de datos
Los ataques modernos se aprovechan de las debilidades inherentes de
las estrategias tradicionales de seguridad de red centradas en el períme-
tro para infiltrarse dentro de los centros de datos de las empresas. Des-
pués de evadir con éxito las defensas perimetrales del centro de datos,
un ataque puede trasladarse lateralmente dentro del centro de datos de
una carga de trabajo a la otra con pocos controles o ninguno que bloquee
su propagación.

La microsegmentación de la red del centro de datos restringe el movi-


miento lateral no autorizado pero, hasta hoy, no ha sido realizable en
términos operativos dentro de las redes de los centros de datos a causa
de las características de los firewalls tradicionales.

Los firewalls tradicionales de filtrado de paquetes de última generación


implementan los controles en forma de puntos de bloqueo físicos o vir-
tuales dentro de la red. A medida que el tráfico de la carga de trabajo de
la aplicación atraviesa estos puntos de control, los paquetes de red son
bloqueados o se les permite atravesar el firewall según las reglas del
firewall, las cuales están configuradas en ese punto de control.

Hay dos barreras operativas frente a la microsegmentación con el uso de


firewalls tradicionales: la capacidad de su rendimiento y la gestión de la
seguridad. Lo que es más importante, por lo general estas no aprove-
chan la virtualización de redes como una nueva capa propicia para
implementar y ejecutar la seguridad.

Las limitaciones en la capacidad de transporte se pueden superar pero a


un costo significativo. Es posible comprar suficientes firewalls físicos o
virtuales a fin de proveer la capacidad necesaria para lograr la micro-
segmentación, pero en la mayoría de organizaciones (si no en todas),
comprar la cantidad de firewalls necesaria para una microsegmentación

44 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
eficaz no resulta económicamente posible. Hablamos aquí de un firewall
individual por máquina virtual (VM). ¿Cuántas VM tiene su centro de
datos? ¿Cientos? ¿Miles? Esto significa que harían falta miles de firewalls
para un centro de datos normal.

La carga de la gestión de la seguridad también se incrementa exponen-


cialmente junto con el número de cargas de trabajo y la naturaleza cre-
cientemente dinámica de los centros de datos actuales. Si las reglas de
los firewalls se deben añadir, eliminar o modificar en forma manual
cada vez que se agrega, se traslada o se desactiva una VM, la tasa de
modificaciones desborda rápidamente al equipo operativo de TI. Esta es
la barrera que ha significado la muerte de la mayoría de los planes
mejor elaborados de los equipos de seguridad que tenían la intención de
lograr una microsegmentación integral o una estrategia de confianza a
nivel de la unidad de privilegios mínimos dentro del centro de datos.
(Hablaremos del concepto de los privilegios mínimos más adelante en
este capítulo).

El centro de datos definido por software (SDDC) saca provecho de una


plataforma de virtualización de redes para ofrecer muchas ventajas sig-
nificativas que no poseen los enfoques de seguridad de red tradicional.
Estas ventajas incluyen el aprovisionamiento automatizado, procesos
automatizados de traslado/adición/modificación de cargas de trabajo,
cumplimiento distribuido de reglas de seguridad en cada interfaz visual,
y rendimiento de firewall de escalamiento horizontal dentro del núcleo,
distribuido a todos los hipervisores e integrado a la plataforma.

Crecimiento del tráfico este-oeste


dentro del centro de datos
En la última década, las aplicaciones se implementaron en forma cre-
ciente sobre infraestructuras de servidores multinivel, y las comunica-
ciones de servidor a servidor este-oeste hoy representan una porción
del tráfico del centro de datos significativamente mayor que las comu-
nicaciones norte-sur de cliente a servidor y que las comunicaciones por
Internet. De hecho, el tráfico dentro del centro de datos hoy representa
tanto como el 80 por ciento de todo el tráfico de la red. Estas infraes-
tructuras de aplicación multinivel se diseñan por lo general con pocos
controles, o ninguno, que restrinjan las comunicaciones entre los
sistemas.

Los delincuentes han modificado sus estrategias de ataque para sacar


ventaja de este cambio de paradigma en el tráfico del centro de datos,
así como del hecho de que las estrategias de defensa centradas en el

CAPÍTULO 4 Casos de uso de la virtualización de redes 45

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
perímetro que prevalecen actualmente ofrecen pocos controles o nin-
guno sobre las comunicaciones de red dentro del centro de datos. Asi-
mismo, los equipos de seguridad deben expandir sus estrategias de
defensa dentro del centro de datos —donde en verdad se da la vasta
mayoría del tráfico, que se encuentra desprotegido— en lugar de con-
centrarse casi exclusivamente en las defensas perimetrales.

Visibilidad
El crecimiento del tráfico este-oeste dentro del centro de datos y el sur-
gimiento de la virtualización de servidores son dos tendencias que han
contribuido a una alarmante falta de visibilidad y de contexto dentro del
centro de datos.

En su mayor parte, las comunicaciones de servidores este-oeste en el


centro de datos no pasan a través de un firewall y, por lo tanto, no son
inspeccionadas. A todos los fines y propósitos, este tráfico resulta invi-
sible para los equipos de seguridad de la red. Cuando se fuerza al tráfico
este-oeste a pasar a través de un firewall (por medio de técnicas tales
como salir y volver a ingresar [hairpinning] para crear una línea de
retorno al tráfico a través de un punto de bloqueo de un firewall), el
resultado es una ruta de comunicación compleja e ineficiente que per-
judica el rendimiento de la red en todo el centro de datos.

La innovación en la virtualización de los servidores va mucho más ade-


lantada que los modelos de red y de seguridad subyacentes en los cen-
tros de datos tradicionales. La implementación de cargas de trabajo
virtuales múltiples en un solo host físico configurado con tarjetas de
interfaz de red (NIC) múltiples es una práctica común en los entornos
de servidores virtuales. Sin conmutadores virtuales, el tráfico que va
hacia las VM individuales y regresa de ellas no se puede identificar
fácilmente. Esto puede provocar problemas significativos para los equi-
pos de red que intentan identificar problemas y hallar fallas, y es tierra
fértil para un delincuente.

La capa de red virtual se ubica en una situación privilegiada para obser-


var todo el tráfico dentro del centro de datos, incluso al nivel de las
cargas de trabajo virtualizadas individuales (por ejemplo, las VM y los
contenedores). Este grado de visibilidad y contexto permite la micro-
segmentación basada en atributos que son exclusivos de cada carga de
trabajo, tales como el sistema operativo, el nivel de parchado, los servi-
cios que ejecutan y muchas otras propiedades. Esta capacidad, a su vez,
permite tomar decisiones de políticas de red y de seguridad más inteli-
gentes que se pueden definir con una comprensión del propósito espe-
cífico de cada carga de trabajo individual dentro del centro de datos.

46 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Por ejemplo, las políticas exclusivas se pueden definir específicamente
para el nivel de red de una aplicación de pedidos, o para un sistema de
recursos humanos de una empresa, basándose en las necesidades de
cada carga de trabajo individual en lugar de hacerlo en las limitaciones
de la topología de red subyacente.

NSX Data Center lleva las cosas un paso más adelante. No solo provee
visibilidad en el tráfico de red por defecto, sino que además ofrece
herramientas para depurar (por ejemplo, el Traceflow) y armar estrate-
gias de microsegmentación basándose en esa visibilidad (por ejemplo,
el Application Rule Manager), lo cual permite implementar políticas con
unos pocos clics.

Sensibilidad al contexto
Las políticas de red tradicionales se han basado necesariamente en los
modelos de infraestructura, tales como las direcciones de protocolo de
internet (IP) y los puertos de protocolo de control de transmisión (TCP)
que son un resultado atribuible más a una infraestructura estática que
al contexto de la aplicación. Al llevar la seguridad más cerca de la apli-
cación mediante la integración con los hipervisores de virtualización y
las plataformas en la nube, la virtualización de redes permite políticas
de seguridad que, de hecho, están basadas en el contexto de la aplica-
ción. Esto no solo resulta intrínsecamente más seguro (porque va al
meollo de la política en lugar de a un artefacto de la infraestructura),
sino también más sencillo de administrar (porque ya no hay que gestio-
nar una cantidad de capas de abstracciones a fin de comprender una
política).

Aquí tenemos algunos ejemplos de contextos de aplicación que podrían


gustarle como fundamento para una política de seguridad:

»» Contexto de la carga de trabajo: ¿En qué sistema operativo se


está ejecutando la aplicación? ¿De qué forma etiquetó usted
esta carga de trabajo con las etiquetas internas?
»» Contextos del usuario: ¿Quién accede a este servidor?
¿Deberían poder acceder? ¿Qué rol tienen según su esquema
de directorio activo?
»» Comportamiento de la aplicación: ¿Qué está haciendo la
aplicación? ¿Es una consulta SQL, una autenticación o es tráfico
web? Esto se identifica mejor en la capa 7, luego del puerto de la
capa 8, lo cual puede requerir solo un cálculo estimativo, pero,
por supuesto, será utilizado para despistarlo en caso de un
ataque malintencionado.

CAPÍTULO 4 Casos de uso de la virtualización de redes 47

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Terceros: ¿Qué tienen que decir los sistemas de otros provee-
dores sobre esta aplicación, más allá del contexto enriquecido
que la plataforma de virtualización de redes, la plataforma en la
nube o el hipervisor ya conocen?

Aislamiento
El aislamiento es fundamental para la seguridad de las redes, ya sea por
motivos de cumplimiento normativo, de contención, o simplemente
para hacer que los entornos de desarrollo, ensayo y producción actúen
por separado. El ruteado, las listas de control de acceso (ACL) y/o las
reglas de los firewalls de los dispositivos físicos, todo ello mantenido y
configurado manualmente, se han utilizado tradicionalmente para
establecer y hacer respetar el aislamiento en las redes de los centros de
datos.

Forrester Research describe su modelo Zero Trust de seguridad y aisla-


miento de la información, en el cual los controles de seguridad perime-
trales se extienden a todo el centro de datos. Este modelo exige que las
ASPECTOS organizaciones protejan los recursos de información externa e interna y
TÉCNICOS
ejecuten estrictos controles de acceso. Zero Trust también incorpora el
principio de los privilegios mínimos, uno de los cimientos de la seguridad
de la información que limita el acceso y los permisos al mínimo nece-
sario para realizar una función autorizada. Finalmente, el concepto de
“confía pero verifica”, tan de los 80 (con el debido respeto y las discul-
pas correspondientes para el presidente Ronald Reagan). “Jamás con-
fíes, siempre verifica” es el nuevo paradigma para un mundo sano y
salvo.

Por su diseño, las redes virtuales están intrínsecamente aisladas de las


otras redes virtuales y de la red física subyacente. Este concepto se dife-
rencia distintivamente del enfoque heredado de suponer por defecto un
cierto nivel de confianza dentro del centro de datos. El aislamiento es
intrínseco a la virtualización de redes: no se necesita ninguna subred,
red de área local virtual (VLAN), ACL ni regla de firewall para habilitar
este aislamiento. Las redes virtuales se crean en aislamiento y perma-
necen aisladas a menos que sean conectadas en forma deliberada y
explícita.

Aquí hay un detalle que es fundamental para este enfoque: Las políticas
de los firewalls en el firewall distribuido, aunque están más próximas a
la aplicación y aprovechan el contexto de la aplicación, también están
aisladas de posibles ataques porque no hacen que el invitado tome
asiento para esperar. Se ejecutan dentro del núcleo, en el hipervisor.

48 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Una red virtual aislada puede componerse de cargas de trabajo distri-
buidas en cualquier lugar del centro de datos, y las cargas de trabajo
dentro de la misma red virtual pueden alojarse en el mismo hipervisor
o en hipervisores separados. Además, las cargas de trabajo en muchas
redes virtuales aisladas pueden alojarse en el mismo hipervisor. El ais-
lamiento entre redes virtuales también permite la superposición de
direcciones IP. Entonces, es posible, por ejemplo, tener redes virtuales
aisladas para desarrollo, ensayo y producción, cada una con una versión
diferente de la aplicación pero con las mismas direcciones IP, todas
operando al mismo tiempo y sobre la misma infraestructura física
subyacente.

Por último, las redes virtuales también están aisladas de la infraestruc-


tura física subyacente. Como el tráfico entre hipervisores está encapsu-
lado, los dispositivos de red física operan en un espacio de direcciones
completamente distinto que el de las cargas de trabajo conectadas a las
redes virtuales.

Por ejemplo, una red virtual podría soportar cargas de trabajo de la apli-
cación IPv6 encima de una red física IPv4. El aislamiento protege la
infraestructura física subyacente de cualquier ataque que pudieran ini-
ciar las cargas de trabajo en cualquier red virtual. De nuevo, todo esto
ocurre en forma independiente de cualquier regla de VLAN, de ACL o de
firewall que tradicionalmente se requeriría para producir este
aislamiento.

Segmentación
La segmentación está vinculada al aislamiento pero se aplica dentro de
una red virtual multinivel. Tradicionalmente, la segmentación de la red
se logra con un firewall físico o un ruteador que permite o impide el
tráfico entre los segmentos o los niveles de la red; por ejemplo, la seg-
mentación de tráfico entre un nivel web, un nivel de aplicación y un
nivel de base de datos. La segmentación es un principio importante en
el diseño de la seguridad porque permite a las organizaciones definir
diferentes niveles de confianza para distintos segmentos y reduce la
superficie de ataque en caso de que un atacante viole las defensas peri-
metrales. Desafortunadamente, los segmentos de red de un centro de
datos a menudo son demasiado grandes para ser efectivos, y los proce-
sos tradicionales para la definición y la configuración de la segmenta-
ción consumen mucho tiempo, son proclives al error humano y, a
menudo, producen fallas de seguridad.

La segmentación, así como el aislamiento, de la red es una capacidad


central de una plataforma de virtualización de redes. Una red virtual

CAPÍTULO 4 Casos de uso de la virtualización de redes 49

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
puede soportar un entorno de red multinivel: los múltiples segmentos
de capa 2 con la segmentación de capa 3 [o microsegmentación] sobre
un segmento individual de capa 2. Para ello utiliza firewalls distribuidos
definidos por las políticas de seguridad de la carga de trabajo. Estos
podrían representar un nivel web, un nivel de aplicación y un nivel de
base de datos, por ejemplo.

En una red virtual, los servicios de red y de seguridad —tales como la


capa 2, la capa 3, los ACL, el firewall y los servicios de calidad (QoS)—
que se aprovisionan con una carga de trabajo se crean mediante progra-
mas, se distribuyen al conmutador virtual del hipervisor y se refuerzan
en la interfaz virtual. La comunicación dentro de una red virtual nunca
abandona el entorno virtual, lo cual elimina la necesidad de segmenta-
ción de la red para su configuración y mantenimiento en la red física o
en el firewall.

Automatización
El aprovisionamiento automatizadodiferentes centros de datosn las
políticas de firewall correctas cuando se crea una carga de trabajo
mediante programas. Esas políticas siguen a la carga de trabajo a
medida que se traslada a cualquier lugar dentro del centro de datos o
entre cen, y esas políticas siguen

Tan importante como esto es que, si se elimina la aplicación, sus polí-


ticas de seguridad se eliminan del sistema automáticamente. Esta
capacidad nos ahorra otro tema sensible: la dispersión de la regla del
firewall. Esto hace que potencialmente miles de reglas de firewall obso-
letas y desactualizadas sigan operativas, lo cual produce, a menudo, la
degradación del rendimiento y problemas de seguridad.

También se puede aplicar una combinación de capacidades de diferen-


tes proveedores al unir los servicios de seguridad avanzados y aplicar
distintos servicios según las diferentes situaciones de seguridad. Esto le
permite a su organización integrar las tecnologías de seguridad exis-
tentes para construir una capacidad de seguridad más integral y corre-
lacionada dentro del centro de datos. En realidad, las tecnologías de
seguridad existentes funcionan mejor con microsegmentación que lo
que podrían funcionar de otra manera, porque tienen mayor visibilidad
y contexto del tráfico individual de la VM de una carga de trabajo dentro
del centro de datos, y porque las acciones de seguridad se pueden per-
sonalizar para las cargas de trabajo de una VM individual como parte de
una solución de seguridad completa.

Por ejemplo, se puede aprovisionar una carga de trabajo con políticas de


firewall estándar, las cuales permiten o restringen su acceso a otros

50 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
tipos de cargas de trabajo. La misma política puede dictar también que
si se detecta una vulnerabilidad en la carga de trabajo durante el curso
de una exploración normal en busca de vulnerabilidades, se aplicará una
política de firewall más restrictiva, que limitará el acceso a la carga de
trabajo exclusivamente a aquellas herramientas que se emplean para
corregir las debilidades.

Los proveedores de seguridad pueden aprovechar la plataforma de vir-


tualización de redes para generar respuestas avanzadas del servicio de
seguridad desde una solución tecnológica de un proveedor de seguridad
SUGERENCIA completamente diferente; una innovación que se acelera con la virtua-
lización de redes.

Inserción de servicios e introspección


de visitas
Como componente fundamental de la infraestructura, NSX Data Center
ocupa un lugar único para fortalecer otras soluciones de seguridad y
proteger mejor el entorno. NSX Data Center puede insertar los firewalls
o los sistemas de prevención de intrusión (IPS) de última generación en
fila y puede direccionar el tráfico en forma dinámica hacia estos siste-
mas, logrando un incremento en la eficiencia del flujo del tráfico a la
vez que mantiene los niveles de seguridad. Para conocer más detalles
sobre la integración con sus socios del ecosistema de servicios de red,
lea el Capítulo 6.

Entornos de usuario seguros


Microsegmentación para VDI
Muchas empresas han implementado infraestructura de escritorio vir-
tual (VDI) para aprovechar las tecnologías de virtualización más allá del
centro de datos. La microsegmentación permite que estas organizacio-
nes expandan muchas de las ventajas de seguridad del SDDC al equipo
de escritorio, y hasta a los entornos móviles. Estas ventajas incluyen:

»» Integrar las capacidades clave de red y de seguridad en la


gestión de VDI
»» Eliminar los conjuntos de políticas y topologías complejas para
los diferentes usuarios de VDI
»» Establecer políticas de filtro y de asignación de firewall y de
tráfico para las agrupaciones lógicas
»» Desvincular las políticas de seguridad de la topología de la red
para simplificar su administración

CAPÍTULO 4 Casos de uso de la virtualización de redes 51

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Mediante su capacidad de implementar la microsegmentación, NSX
Data Center permite que cada escritorio virtual tenga su propio firewall.
Esto hace posible un nivel más detallado de seguridad que se extiende
completamente hasta la interfaz de red virtual. Basándose en políticas,
todo el tráfico hacia esa VM y el tráfico proveniente de ella puede ser
asegurado si se evita la comunicación no autorizada entre las VM u otras
cargas de trabajo. Si el escritorio virtual de un usuario final queda com-
prometido, la exposición puede circunscribirse fácilmente solo a ese
usuario.

Cómo automatizar los procesos de TI


En los centros de datos grandes, los procesos manuales son la pesadilla
de los administradores de TI y un gasto excesivo para el presupuesto del
gerente. La virtualización de redes lo ayuda a hacer frente a estos desa-
fíos mediante la automatización de las tareas laboriosas y proclives a
errores vinculadas con la configuración, el aprovisionamiento y la ges-
tión de la red, y más.

La automatización de la TI
Con NSX Data Center, las poderosas capacidades de orquestación distri-
buyen los servicios de red en paralelo con las VM. Puede usar el centro
de datos de NSX para estandarizar y mantener plantillas predefinidas
uniformes de topologías y de servicios de red. Con el enfoque basado en
plantillas se pueden aprovisionar los entornos en segundos con confi-
guración y políticas de seguridad coherentes.

Cuando tome el bate con las capacidades de automatización de TI de


NSX Data Center, usted estará preparado para un juego triple:

SUGERENCIA
»» Reducción de gastos operativos.
»» Menor tiempo de comercialización.
»» Mayor velocidad de entrega de servicios de TI.

La nube del desarrollador


NSX Data Center está preparado para ser utilizado como plataforma
para nubes de desarrolladores de autoservicio, así como otras iniciativas
de ‘infraestructura como un servicio’ (IaaS). Puede utilizar aprovisiona-
miento automatizado de red y de servicios para darles a sus equipos de
desarrollo y de ensayo un acceso rápido a la infraestructura que

52 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
necesitan, de forma que puedan tener las aplicaciones de software y sus
actualizaciones en las manos de los usuarios en menos tiempo.

NSX Data Center puede aprovisionar miles de redes aisladas para los
entornos de desarrollo, ensayo y prueba, todo ello sobre la misma
infraestructura física. En esta forma novedosa de hacer negocios, NSX
Data Center elimina las tareas manuales y los ciclos de tiempo asociados
con la adquisición, instalación y configuración de la infraestructura de
la red. Las redes se instalan en forma consecutiva con sus cargas de
trabajo como transacciones de autoservicio completamente auditadas.
Las aplicaciones se mueven rápidamente a través de las etapas de desa-
rrollo, ensayo, prueba y producción sin necesidad de modificaciones en
sus direcciones IP.

Infraestructura multiusuario
Gracias a la virtualización, el aprovisionamiento de infraestructura de la
red para los equipos de desarrollo y ensayo ya no representa un cuello
de botella que ralentiza el negocio y demora el tiempo de
comercialización.

En entornos de nube multiusuario, puede utilizar la microsegmentación


y las capacidades de aislamiento de NSX Data Center para mantener el
aislamiento entre instancias. NSX Data Center le permite crear redes
virtuales y mantenerlas completamente aisladas de cualquier otra red
virtual y de la red física subyacente. Puede tener dos instancias o inqui-
linos diferentes ejecutándose en las mismas direcciones IP sobre la
misma infraestructura física sin tener ningún conflicto entre estas
direcciones IP porque las redes virtuales ni siquiera saben que las demás
existen, ni saben que existe la red física.

Para tener una solución más amplia, puede añadir servicios avanzados
basados en la red virtual, un segmento de red o un grupo de seguridad.
Por ejemplo, podría sumar una inspección profunda de paquetes
mediante firewalls como los de Palo Alto Networks. Con este servicio,
puede definir de manera detallada los flujos de tráfico que serán redi-
reccionados al firewall Palo Alto Networks VM-Series para que los ins-
peccione y aplique las políticas de seguridad. El tráfico autorizado por el
firewall de la serie VM es devuelto al conmutador virtual de NSX Data
Center para ser enviado a su destino final (VM o dispositivo físico
invitado).

CAPÍTULO 4 Casos de uso de la virtualización de redes 53

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Aplicaciones nativas de la nube
Cada vez más, los desarrolladores están pasando por encima de los res-
ponsables de TI y desarrollando aplicaciones en la nube. Están haciendo
uso de modelos nuevos como los contenedores, construyendo aplicacio-
nes con arquitecturas de microservicios y utilizando plataformas de
orquestación de contenedores para construir sus aplicaciones y hacerlas
escalar horizontalmente. Las organizaciones están lidiando con las
maneras de insertar algún grado de visibilidad y control en este proceso
sin demorar a los equipos de desarrollo o darles aros para que salten por
ellos como perritos, lo cual seguramente no harán e ignorarán estos
pedidos.

NSX Data Center aprovecha directamente las plataformas de orquesta-


ción de aplicación y de contenedor tales como Kubernetes o Cloud
Foundry para brindar visibilidad en este campo a la organización en
general y aplicar políticas ya existentes en NSX Data Center dentro del
dominio contenedor. Esto permite que las organizaciones contribuyan a
la depuración del desarrollo a nivel del contenedor cuando algo sale mal
dentro de la aplicación de un producto. También permite que se apli-
quen políticas centradas en el negocio (por ejemplo, cumplimiento de
PCI para transacciones de pagos) dentro de la aplicación, intrínseca-
mente seleccionadas de los manifiestos de los desarrolladores a medida
que se crean las aplicaciones.

El trabajo en red multinube


Según el “State of the Cloud Report” (Informe sobre el estado de la
nube) de RightScale de 2018, en promedio, las organizaciones utilizan
cinco nubes diferentes. Cinco. Incluso las organizaciones que no utilizan
nubes públicas por motivos regulatorios administran nubes de centros
de datos privados múltiples (nubes privadas) para mejorar la continui-
dad de la aplicación y mantener el negocio en funcionamiento. Las
organizaciones que sí utilizan las nubes públicas pueden llegar a tener
un desarrollador tejiendo una aplicación dentro de Amazon Web Servi-
ces (AWS) mientras que otro está haciendo lo mismo en la Plataforma
de la nube de Google. Entretanto, todo un equipo aparte puede tener un
proyecto completo en Microsoft Azure.

Administrar los procesos de TI, planificar qué hacer ante desastres,


garantizar la seguridad a lo largo de múltiples centros de datos privados
y/o nubes públicas es una necesidad actual para los negocios. La buena
noticia es que la virtualización de redes hace todo esto posible y elimina
los obstáculos que solían representar desafíos en estas áreas. Al

54 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
extender la red a través de las nubes y al administrar la seguridad desde
un solo lugar a través de las nubes, el trabajo en red y la seguridad
internube se vuelven técnica y operativamente posibles y viables.

Recuperación ante desastres


El proceso de recuperación es automatizado, orquestado e integrado
completamente a todas las instancias de procesamiento, almacena-
miento, trabajo en red y seguridad. NSX Data Center es compatible con
numerosas herramientas de orquestación de recuperación ante desas-
tres (DR), tales como VMware Site Recovery Manager, Dell EMC RP4VM,
Zerto y Veeam.

NSX Data Center provee seguridad y trabajo en red lógico transversal-


mente uniforme en los sitios protegidos y de recuperación, lo cual dis-
minuye el tiempo de recuperación objetivo (RTO) en el caso de que
suceda un desastre. Con redes y procesos de seguridad cubriendo siste-
máticamente múltiples sitios, las aplicaciones pueden recuperarse den-
tro del sitio de recuperación y retener sus configuraciones de red y de
seguridad.

Además, NSX Data Center se puede emplear para crear fácilmente redes
de prueba que se pueden usar para ensayar planes de recuperación sin
necesidad de interrumpir el entorno de producción. El ensayo ocurre en
un entorno aislado y mantiene las mismas direcciones IP y las políticas
de seguridad de la aplicación en el sitio de recuperación.

Agrupación en múltiples sitios y


extensión del centro de datos
La agrupación multisitio genera un conjunto de infraestructura unifi-
cado, sin interrupciones y elástica para ejecutar las aplicaciones a través
de múltiples centros de datos y hacia la nube, todo ello posibilitado por
una sola plataforma de red uniforme. De la misma manera, las aplica-
ciones se pueden implementar en cualquier ubicación y conectar a los
recursos ubicados a través de los sitios para permitir la prevención de
desastres, cortes planificados y sorpresivos, o una mejor utilización de
recursos.

Asimismo, la movilidad mejorada de las cargas de trabajo dentro de una


red común implica que el tiempo de inactividad puede planificarse de
forma más eficiente, y que escalar los centros de datos existentes o
poner centros nuevos en línea luego de fusiones y adquisiciones es sig-
nificativamente más sencillo. Este ha sido uno de los usos más frecuen-
tes de NSX Data Center en implementaciones multisitio.

CAPÍTULO 4 Casos de uso de la virtualización de redes 55

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Seguridad coherente entre nubes
Después de que se virtualiza una red, la extensión de sus beneficios a la
nube se vuelve un simple complemento. VMware NSX Cloud hace exac-
tamente esto, añadiendo cargas de trabajo nativas de la nube al cimiento
de VMware NSX Data Center, para lo cual utiliza un portal de gestión
para las cargas de trabajo en las instalaciones y en la nube. Esto permite
la microsegmentación sobre el tráfico este-oeste entre las cargas de
trabajo de la aplicación que se ejecutan en la nube o en el centro de datos
privado.

Usted puede definir una política de seguridad una vez y aplicarla a las
cargas de trabajo que se encuentran en cualquier lugar: a través de las
redes, regiones y zonas de disponibilidad virtuales en la nube, y de múl-
tiples centros de datos privados y de nubes públicas. Las políticas de
seguridad se aplican en forma dinámica sobre la base de los atributos de
la carga de trabajo y se hacen cumplir en el nivel de la instancia. Las
reglas de seguridad siguen a las cargas de trabajo cuando son traslada-
das. Usted puede definir políticas basadas en modelos enriquecidos,
tales como los atributos de la carga de trabajo y las etiquetas definidas
por el usuario. También puede hacer cosas como responder bondadosa-
mente ante amenazas con una cuarentena de extremos de nube falsos o
comprometidos.

56 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
EN ESTE CAPÍTULO
»» Le presentamos el concepto de
operacionalización
»» Hacemos un recorrido por un caso de uso de
implementación de virtualización de redes
»» Describimos cómo resolver problemas de
personal y puestos de trabajo

Capítulo  5
Cómo poner en práctica
la virtualización de redes

L
a operacionalización de la virtualización de redes involucra la
optimización de personas, procesos y tecnología para maximizar
las capacidades de la red y de seguridad que esta ofrece.

Su empresa debe realizar con éxito la operacionalización de la virtuali-


zación de redes para lograr los beneficios generales de velocidad, agili-
dad y seguridad. Cuán bien operacionalice la virtualización de redes
determinará cuán rápido pueda ver los beneficios comerciales y de TI
medibles: el premio final.

La operacionalización de la virtualización de redes debería verse como


un viaje cultural y técnico gradual, en el cual su organización obtiene
una madurez y una sofisticación crecientes a medida que abandona el
centro de datos definido por hardware y avanza hacia el centro de datos
definido por software (SDDC). Es un viaje que producirá héroes y carre-
ras, así como la virtualización del procesamiento lo hizo hace una
década.

El propósito de este capítulo no es darle todas las respuestas sobre lo


que implica operacionalizar NSX Data Center (lo cual llevaría un libro
completo), sino presentar el concepto y remarcar algunas de las áreas
clave que debería considerar en su viaje hacia la virtualización de redes.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes 57

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Mientras se embarca en su viaje hacia la virtualización de redes, defina
con claridad su visión a largo plazo para su SDDC completamente opti-
mizado. Tenga en cuenta cuánto requiere hacer evolucionar a su gente,
SUGERENCIA sus procesos y sus herramientas para llegar a ese lugar.

Investigar las áreas de inversión en


operaciones
Debería tener en cuenta tres áreas de inversión en operaciones clave en
su trayecto hacia la virtualización de redes. Esas inversiones le ayuda-
rán a lograr el máximo valor comercial para su organización y el máximo
valor de formación para su equipo de TI.

Tome un enfoque holístico, uno que abarque estos conceptos, cada uno
de los cuales se desarrolla en detalle en las próximas secciones:

»» Las personas
»» El proceso
»» Las herramientas

Las personas y el proceso


Las operaciones del SDDC tienen un impacto en la mayor parte de la
organización de TI. Estas operaciones abarcan procesamiento, redes,
almacenamiento, seguridad y personal, incluidos los operadores, admi-
nistradores, ingenieros y arquitectos.

Cuando usted operacionalice la virtualización de redes, involucre a todos


los jugadores necesarios en el proceso... y sea claro.

SUGERENCIA Le mostramos algunas de las prácticas recomendadas relacionadas con


su organización de TI y su gente:

»» Haga que sus equipos de red y de seguridad actuales


adopten NSX Data Center. No hay necesidad de hacer
cambios en sus equipos o de crear nuevos. Los roles funciona-
les también permanecen idénticos (por ejemplo: arquitectos,
ingenieros, operadores, administradores). Los roles y las
responsabilidades existentes evolucionan para incorporar la
virtualización de redes.
»» Considere cómo crear un equipo en la nube más mixto con
habilidades interdisciplinarias y de interdominio, objetivos y

58 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
principios operativos comunes, desarrollo y entrenamiento
intraequipo y alineamiento en torno a la provisión de servicios
para el negocio.
»» Considere estos roles de red y de seguridad para su red en
la nube: Arquitectura, seguridad, orquestación y automatiza-
ción, desarrollo e integración, administración, operaciones, y
soporte y escalabilidad.
»» Obtenga el apoyo de su equipo. Asegúrese de que todos los
jugadores de su equipo comprenden la propuesta de valor y lo
que significará para ellos en lo personal y en lo profesional, ya
que surgen nuevas oportunidades para trabajar en proyectos
más interesantes y estratégicos.
»» Asegúrele a su equipo de red que sus trabajos están
seguros. Déjele en claro a su personal de redes que no serán
reemplazados por procesos automatizados y que sus trabajos
no se trasladarán al equipo de virtualización. Su personal de
redes existente debe asumir la tarea de la virtualización de las
redes. Solamente ellos poseen la experiencia en redes que se
necesita.
»» Involucre a su equipo de operaciones en la nube desde
temprano en el proceso de evaluación. De esa manera, se
enterarán de cómo NSX Data Center simplificará sus trabajos y
se convertirán en defensores del proyecto. No los tome por
sorpresa poco antes de querer realizar la implementación.
»» Incluya al equipo de seguridad desde temprano en la
evaluación. El equipo de seguridad debe enterarse de que las
redes virtuales son tan seguras como las redes físicas. Precisan
saber que la microsegmentación no reemplaza a los firewalls
perimetrales actuales para el tráfico norte-sur, sino que le
permite a la organización controlar el tráfico este-oeste dentro
del centro de datos.

Benefíciese de los recursos enfocados en las operaciones de VMware


(guías técnicas, talleres, capacitación y certificaciones) para obtener la
experiencia técnica, las habilidades y el conocimiento que hacen falta
SUGERENCIA para la virtualización de redes y la implementación del SDDC.

Los procesos y las herramientas


Una de las principales ventajas de la virtualización de redes es que los
procesos que antiguamente eran manuales se pueden automatizar. Sin
embargo, esto requiere de una inversión inicial para adquirir las

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes 59

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
herramientas apropiadas. La automatización de algunas tareas puede
realizarse de forma directa dentro del NSX Manager, mientras que otras
funciones de automatización son provistas por otras herramientas, tal
como una plataforma de gestión en la nube.

NSX Data Center provee un punto central de control, NSX Manager,


para la creación, la gestión y el monitoreo de las redes virtuales. La
operación del entorno de NSX Data Center se centrará naturalmente en
NSX Manager, ya sea a través de su interfaz de usuario (IU) o mediante
llamadas de la interfaz de programación de aplicación (API) realizadas
al NSX Manager por otras herramientas (tales como VMware vRealize
Automation, VMware vRealize Operations, OpenStack y otras herra-
mientas de otros proveedores).

Además, será necesario gestionar la infraestructura subyacente, la cual


se compone de algunos componentes de NSX Data Center (controlado-
res, nodos de periferia, hipervisores) y de la misma infraestructura de
red (la base). NSX Data Center posee la habilidad propia de gestionar
estos elementos. Otras herramientas de otros proveedores pueden tener
un papel central en la gestión de la infraestructura.

Cuando operacionalice la virtualización de redes, dé un paso atrás y


considere la gama completa de repercusiones para sus procesos y sus
herramientas. En particular, tenga en mente estas prácticas
SUGERENCIA recomendadas:

»» Analice sus procesos de red y de seguridad existentes y


compréndalos en profundidad. Determine cómo simplificar
sus procesos mediante orquestación y automatización.
»» Considere el impacto que la virtualización de redes tiene
sobre las actividades tales como el monitoreo, la detección
de fallas, la gestión de cambios, la gestión de lanzamiento y
la gestión de capacidad. Comprenda cómo estas actividades
clave funcionan hoy y de qué manera se pueden simplificar.
»» Determine sus prioridades para la automatización de los
procesos y para la estandarización de los entornos (por
ejemplo: configuraciones y políticas) para reducir el
esfuerzo y los gastos operativos. La automatización y el
aprovisionamiento basados en políticas de redes y de servicios
elimina los errores de configuración comunes y mejora el
seguimiento de los cambios para auditorías y verificación de
cumplimiento normativo.

60 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Determine si debería utilizar las herramientas de gestión
y operación existentes o si debería evaluar alternativas
modernas. Estas alternativas modernas proveen una visión
extremo a extremo de la salud de la aplicación a través de las
etapas de procesamiento, almacenamiento y funcionamiento
en red. Obtenga visibilidad dentro de las relaciones de objeto
entre los componentes virtuales y los físicos.
»» Identifique las herramientas de VMware y de otros
proveedores para la gestión de componentes virtuales y
físicos. Evalúe cómo puede aprovechar las capacidades nativas
y las API de NSX Data Center para lograr una profunda
integración con las herramientas actuales, como por ejemplo
las plataformas de gestión en la nube y las herramientas de
orquestación y automatización.
»» Utilice sus herramientas existentes para operar las redes
virtuales. Las redes virtuales proveen toda la información
operativa que uno espera de las redes físicas (por ejemplo,
contadores de paquetes y de bytes, exportación NetFlow).
Muchas herramientas existentes pueden aprovechar la
información que NSX Data Center brinda para las tareas
operativas.
»» Utilice sus herramientas favoritas para el monitoreo y la
detección de fallas. Un enfoque de proveedor único no
siempre le ofrece la mejor visibilidad. Descubrirá que utilizando
diferentes herramientas (por ejemplo, recolectores vRealize
Network Insight, vRealize Operations, Splunk, Wireshark o
NetFlow) logrará un mejor monitoreo y una mejor detección de
fallas de su infraestructura de red.

Algunos ejemplos
Hay algunas cosas para las que puede utilizar la virtualización de redes.
A fines ilustrativos, esta sección recorre tres ejemplos de situaciones
actuales frente a situaciones ideales que son posibles gracias a la virtua-
lización de redes.

Gestión del aprovisionamiento


y de la configuración
La infraestructura virtualizada y la API proveen automatización y apro-
visionamiento, gestión de configuración y herramientas de cumpli-
miento normativo.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes 61

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Estado actual

»» Coloca en racks y apila los dispositivos físicos y los configura


manualmente mediante interfaces de línea de comando (CLI) o
scripts.
»» Los sistemas de creación de tickets (por ejemplo, Service Now)
generan múltiples requerimientos y rastrean el estado.
»» La gestión de la configuración de red (NCM), la base de datos de
gestión de la configuración (CMDB, por ejemplo: HPNA) y las
herramientas de cumplimiento normativo rastrean los ítems de
configuración y sus relaciones.

Estado ideal

»» Las herramientas de plataforma de gestión de orquestación/


nube (CMP) (por ejemplo, vRealize Automation, Chef o Puppet)
proveen automatización para la gestión del aprovisionamiento y
de la configuración.
»» Los portales de autoservicio proveen catálogos de servicios y de
automatización con API.
»» Las plantillas estandarizadas incluyen relaciones incorporadas.
Puede aprovechar las API para descubrir la topología y verificar
el aseguramiento de la configuración mediante herramientas
externas.

Gestión de incidentes y de capacidad


El monitoreo, la detección de fallas y la gestión de la capacidad se pro-
veen mediante herramientas del contexto virtual sensibles a la aplica-
ción además de las herramientas del contexto físico.

Estado actual

»» Las herramientas de monitoreo y de detección de fallas por


silos se concentran en la infraestructura física.
»» Muchas herramientas consumen diferentes grados de
granularidad de información sin correlación.
»» El gestor de gestores (MoM) centralizado que se encuentra
atado a los sistemas de creación de tickets genera alertas
automatizadas.

62 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Estado ideal

»» El monitoreo a nivel de aplicación, la detección de fallas y la


gestión de la capacidad abarcan dominios e infraestructura
virtual y física.
»» Una interfaz de usuario simplificada provee una vista unificada
y correlacionada de la infraestructura del SDDC.
»» La autorreparación se provee mediante herramientas de
monitoreo externas que utilizan un marco API. El escalamiento
horizontal de la capacidad de NSX Data Center se basa en su
utilización.

Microsegmentación
Esta técnica de seguridad permite que se asignen políticas de seguridad
muy detalladas a las aplicaciones hasta el nivel de la carga de trabajo.

Estado actual

Desde un punto de vista práctico, la microsegmentación solo es viable


cuando un centro de datos se utiliza con un enfoque virtualizado, exclu-
sivamente basado en software.

Estado ideal

»» Comprender el tráfico de red con monitoreo a nivel de la


aplicación (por ejemplo, VMware vRealize Network Insight) para
automatizar un proceso tradicionalmente manual y laborioso
de identificar cuáles son las aplicaciones que se están comuni-
cando entre sí.
»» Implementar reglas de firewall una vez que haya seleccionado
la aplicación de destino (por ejemplo, mediante el Application
Rule Manager, ya integrado a NSX Data Center).
»» Seguir monitoreando el tráfico de red y detectando fallas en
todo su entorno (utilizando, por ejemplo, vRealize Network
Insight, VMware vRealize Log Insight, y las herramientas
integradas de NSX Data Center: Flow Monitoring y Endpoint
Monitoring). Repetir el proceso con la siguiente aplicación.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes 63

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Cómo desarrollar la mentalidad correcta
Los cambios no son fáciles, especialmente cuando involucran un ele-
mento personal. Desafortunadamente, nos guste o no, los cambios ocu-
rren. En el mundo de la tecnología de la información el cambio ya llegó.
La automatización de la TI, la microsegmentación, la disponibilidad de aplica-
ciones, y los servicios internube ya no son términos que están de moda en
las publicaciones de marketing y en las reuniones ejecutivas. Son reali-
dades diseñadas e implementadas en algunos de los entornos de TI más
grandes del mundo. El hilo que conecta todos estos conceptos son las
nuevas capacidades de trabajo en red y de seguridad que son posibles
gracias a la familia NSX.

La virtualización de redes está transformando la manera en la que las


empresas enfrentan los problemas de negocios tradicionales, y está tra-
yendo solución a los problemas comerciales generados por la transfor-
mación digital de una empresa.

Como profesional de TI, su éxito a largo plazo depende de la capacidad


de su empresa para adaptarse a las nuevas tecnologías y soluciones. Las
soluciones de NSX alteran el statu quo, pero al mismo tiempo represen-
tan una oportunidad para que sus administradores, sus ingenieros y sus
arquitectos se conviertan en líderes dentro de un nuevo paradigma de
trabajo en red y seguridad. Esto conlleva una mentalidad que esté enfo-
cada en buscar oportunidades en lugar de creer que sus habilidades son
permanentes.

¿Está listo para llevar su carrera profesional al siguiente nivel? Lea el


Capítulo 6 para saber cómo hacerlo.

Con la mirada en el panorama general


Como cualquier iniciativa de TI importante, la virtualización de redes
modifica muchas cosas dentro de su centro de datos. Pero una cosa que
no cambia es la seguridad de su empleo. Los profesionales en redes son
fundamentales para el éxito de un entorno de red virtualizado. No se
puede lograr sin ellos.

Cuando forma parte de una iniciativa de virtualización de redes, usted


tiene la oportunidad de participar y contribuir en la trasformación del
trabajo en red y de la seguridad de su empresa. El resultado será bene-
ficioso para usted, así como lo fue para aquellos que defendieron y apo-
yaron la virtualización del procesamiento e hicieron carrera con ello.
Acepte esta gran oportunidad de ser un líder.

64 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
A medida que virtualiza y automatiza su infraestructura, tendrá la
oportunidad de trabajar en iniciativas estratégicas más interesantes.
Por ejemplo, en lugar de perder tiempo en la tarea cotidiana de confi-
SUGERENCIA gurar un ruteador o de actualizar las reglas de un firewall, usted puede
trabajar en el diseño de una red nervada, en la automatización de los
flujos de trabajos de red y de seguridad, o incluso en la construcción de
una nube de desarrollador.

La participación en una iniciativa de virtualización de redes lo enrique-


cerá profesionalmente, lo preparará para el futuro y aumentará su valor
en el mercado laboral, tal como lo hizo la virtualización de servidores
con los administradores de servidores hace diez años.

La virtualización de redes impulsa su carrera y le permite invertir más


tiempo en la ingeniería del tráfico, el diseño y la arquitectura de la red:

RECUERDE »» Cuando implemente la virtualización de redes no será


reemplazado en su trabajo por procesos automatizados.
En lugar de ello, su trabajo se transformará para permitirle
trabajar en proyectos más interesantes y de mayor valor
estratégico.
»» El equipo de virtualización no se quedará con su empleo.
NSX Data Center depende de los mismos conceptos y tecnolo-
gías de red que las redes físicas; por lo tanto, se precisan
conocimientos y experiencia en redes y seguridad.
»» La virtualización no hará que su trabajo sea más más
complicado. La superposición virtual, en conjunto con la
automatización y una capa subyacente simplificada, agiliza el
aprovisionamiento y la gestión de las redes.

Si desea conocer más sobre cómo operacionalizar la virtualización


de  redes, revise la biblioteca de recursos del Día 1 con NSX en
www.vmware.com/go/runnsx.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes 65

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
EN ESTE CAPÍTULO
»» Resaltamos los recursos cargados de
valiosos conocimientos
»» Un testeo de prueba de NSX Data Center
»» Cómo implementar NSX Data Center en
su entorno

Capítulo  6
Las (aproximadamente)
10 maneras de empezar
con la virtualización
de redes

E
ste capítulo le cuenta todo lo que siempre quiso saber sobre cómo
empezar con la virtualización de redes pero nunca se atrevió a
preguntar. Aquí le brindamos una lista de recursos sobre virtua-
lización de redes, resaltamos las oportunidades de implementar la pla-
taforma de NSX Data Center con infraestructura Cisco, y explicamos
cómo está diseñado NSX Data Center para su integración con su
infraestructura existente y con soluciones de otros proveedores para
servicios de red, tales como dispositivos de balanceo de cargas y
firewalls de última generación.

El capítulo comienza con una mirada a los recursos que están a su dis-
posición para ayudarlo a enriquecer su comprensión de la virtualización
de redes, los componentes de una red virtualizada y las herramientas
disponibles para ayudarlo a empezar.

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza 67

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Ponerse al día con lo básico
VMware ofrece una amplia gama de recursos para ayudarlo a tener una
base sólida con los fundamentos de la virtualización de redes:

»» Video de presentación de VMware NSX Data Center


(https://youtu.be/gqcwJEhIiqs): Este video dinámico de tres
minutos de duración le explica cómo NSX Data Center funciona
como cimiento para una plataforma de virtualización de redes
que provee el modelo operacional de una máquina virtual.
»» Página de producto de VMware NSX Data Center (www.
vmware.com/go/nsx): La página de producto de NSX Data Center
sintetiza las características, funciones y ventajas básicas de la
plataforma de NSX Data Center. También sirve como un portal
que le ofrece enlaces a una amplia variedad de descripciones
detalladas, que incluyen información técnica y contenido
orientado a los negocios.
»» Canal de Youtube de VMware NSX (www.youtube.com/
vmwarensx): El canal de Youtube de NSX le brinda una gran
variedad de videos: resúmenes animados, anécdotas de clientes,
videos breves del paso a paso con pizarras de luz, profundizacio-
nes en distintos productos, descripciones detalladas de produc-
tos y más.
»» Microsegmentación For Dummies (http://learn.vmware.
com/41021_REG): Este libro digital ofrece una mirada de cerca al
caso de uso de microsegmentación para la virtualización de
redes. Incluye los fundamentos sobre su funcionamiento, las
tecnologías que la hacen posible, y la variada gama de ventajas
en seguridad. Sepa cómo implementar un centro de datos
intrínsecamente seguro que lo ayude a prevenir la propagación
lateral de los ataques dentro del centro de datos.

Una incursión más profunda


VMware le ofrece también una amplia variedad de recursos tecnológicos
para ayudarle a entender lo que sucede “debajo del capó”.

»» Guía de diseño de VMwareNSX Data Center para virtualiza-


ción de redes vSphere (https://communities.vmware.com/
docs/DOC-27683): Para tener material técnico verdaderamente
profundo, descargue la guía de diseño. Este documento está
destinado a los arquitectos de virtualización y de redes

68 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
interesados en implementar la solución para virtualización de
redes dNSX Data Center en un entorno vSphere. Esta guía incluye
información detallada sobre NSX Data Center para los componen-
tes funcionales de vSphere, sus servicios funcionales y sus
consideraciones de diseño.
»» Guía de inicio de implementación de NSX Data Center para
vSphere (https://communities.vmware.com/docs/DOC-27705):
Este material provee ejemplos de cómo configurar paso a paso los
servicios de red en NSX Data Center para vSphere, e incluye lo
siguiente:

• Conmutadores lógicos
• Ruteadores lógicos distribuidos
• Firewalls distribuidos
• Ruteadores lógicos centralizados (periferia) con ruteado
dinámico y traducción de direcciones de red (NAT) de
muchas a una.

• Balanceadores lógicos de carga (periferia)


»» Guía de diseño de referencia de VMware NSX Data Center-T
(https://communities.vmware.com/docs/DOC-37591): Esta
guía de diseño no da por sentado ningún conocimiento de NSX
Data Center para vSphere, y aborda el conocimiento de la
plataforma de manera independiente. La guía incluye informa-
ción detallada sobre implementaciones y diseño de clústeres de
nodos de periferia no recubiertos, y cubre las implementacio-
nes de multi-vCenters ESXi (incluidos los diseños exclusivos de
la máquina virtual basada en núcleo [KVM, kernel-based])
»» Guías para el Día 1 y el Día 2 con VMware NSX Data Center
Press (www.vmware.com/go/runnsx): Nuestros especialistas
han publicado libros digitales sobre temáticas esenciales
relacionadas con las redes y la seguridad para ayudarlo a
comenzar a trabajar con NSX Data Center:

• NSX, microsegmentación: día 1


• NSX, microsegmentación: día 2
• Cómo construir nubes y centros de datos con VMware NSX para
empresas pequeñas y medianas

• Cómo operacionalizar VMware NSX


• Cómo automatizar NSX para vSphere con PowerNSX
Se publican nuevos libros digitales cada trimestre, así que revise
periódicamente la página para conocer los nuevos temas.

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza 69

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» El blog de la virtualización de redes (http://blogs.vmware.
com/networkvirtualization): Visite este blog para encontrar
desde las últimas novedades hasta datos técnicos muy especializa-
dos y consejos prácticos sobre la virtualización de redes. Funciona
como un recurso clave en la industria para obtener noticias
precisas e información real sobre la virtualización de redes.

Prueba de manejo de NSX Data Center


en laboratorios prácticos
Para mejorar su comprensión de una plataforma como NSX Data Cen-
ter, siempre es bueno subirse al asiento del conductor para una prueba
de manejo:

»» Laboratorio práctico sobre VMware NSX (www.vmware.com/


products/nsx/nsx-hol.html): Los laboratorios prácticos de
VMware le ofrecen un entorno de escritorio en vivo completa-
mente operacional para que pueda experimentar los productos
de VMware sin necesidad de instalar nada. Con instrucciones
que lo guían clic a clic y con todos los productos previamente
instalados, usted puede concentrarse en las funciones del
producto que más le interesan. Esta es una excelente manera
de familiarizarse con las capacidades de NSX Data Center sin
tener que instalar ningún software en su sistema.
Aquí le mostramos algunos ejemplos de laboratorios prácticos
que hallará en este sitio:

• Laboratorio de introducción a VMware NSX Data Center


• VMware NSX Data Center: firewalls distribuidos mediante
microsegmentación

• Introducción a vRealize Network Insight


• Laboratorio avanzado sobre VMware NSX Data Center
• Horizon y NSX Data Center para servicios de salud
• Cómo empezar con NSX Data Center-T

Cómo lograr visibilidad


No puede proteger lo que no puede ver. Entérese de cuáles son las apli-
caciones que están comunicándose entre sí con la evaluación de red
virtual (VNA, www.vmware.com/go/vna-field), que aprovecha el

70 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
producto VMware Network Insight. Entérese en menos de 24 horas. La
VNA hará lo siguiente:

»» Le mostrará la distribución del tráfico de red por tipo (este-


oeste, Internet, ruteado, VM a VM) y por servicios (web, base de
datos, nivel medio, infraestructura).
»» Ofrecerá una vista previa de recomendaciones prácticas de
microsegmentación dNSX Data Center para su red.
»» Señalará las oportunidades de optimización del rendimiento de
la red con NSX Data Center.

Descubra cómo implementar NSX Data


Center en su entorno
Cuando esté listo para explorar sus opciones de implementación, puede
comenzar por aprender sobre virtualización de redes y NSX Data Center
mediante cursos a pedido. VMware ofrece diversas formas de experi-
mentar los beneficios de la virtualización de redes y NSX Data Center,
desde cursos en línea hasta seminarios web en vivo y cursos a pedido de
avance personalizado.

Comience su viaje aprendiendo los conceptos fundamentales de la vir-


tualización de redes y los desafíos comerciales que NSX Data Center
puede ayudarle a superar. Después de eso, puede tomar un curso a
pedido de avance personalizado que le brinde una primera aproxima-
ción de cómo instalar, configurar y administrar NSX Data Center. Para
conocer más, visite el siguiente sitio:

»» Coursera (gratuito; http://vmware.com/go/coursera): Avance


en su formación con “Arquitectura de redes y de seguridad con
VMware NSX” en Coursera. Este curso gratuito en línea les da a los
estudiantes información sobre la virtualización de redes básica
con VMware NSX Data Center. Para aprovechar al máximo este
curso, debería estar familiarizado con conceptos genéricos de TI
tales como ruteado, conmutación, firewall, recuperación ante
desastres, continuidad de negocios, nube y seguridad.
»» Conceptos esenciales de la virtualización de redes
(https://mylearn.vmware.com/mgrreg/courses.
cfm?a=det&id_course=240782&ui=www_edu): Iníciese con un
curso en línea de tres horas de avance personalizado que le
brindará una comprensión fundamental del trabajo en red
virtual y de los desafíos que ayuda a superar.

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza 71

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
»» Certificación en virtualización de redes (https://mylearn.
vmware.com/mgrReg/plan.cfm?plan=48389&ui=www_edu):
Mida el nivel de sus habilidades de diseño, implementación y
gestión del entorno dNSX Data Center. Puede hallar lo siguiente:

• VMware NSX: Instalación, configuración y gestión:


Un curso de cinco días de duración en el que aprenderá a
utilizar la conmutación y el ruteado, los servicios de portal,
las configuraciones de firewalls y los servicios de seguridad
lógicos.

• VMware NSX: Diseño e implementación: Un curso de


cinco días de duración que lo prepara para dirigir proyectos
de diseño e implementación de NSX Data Center y le ofrece
una comprensión de los procesos y marcos de diseño
generales.

• VMware NSX: Detección de fallas y operaciones: Un curso


en el que aprenderá a aislar problemas e identificar
soluciones mediante un proceso sistemático.

• VMware NSX para la vía rápida de expertos en interco-


nexión de redes: Un curso para quienes ya poseen una
certificación Cisco Certified Internetwork Expert (CCIE).
Aprenderá de qué forma NSX Data Center se cruza con las
funciones de virtualización de una infraestructura basada en
productos de Cisco en arquitecturas nervadas y las tradicio-
nales de acceso de agregación de núcleo.

Cómo implementar NSX Data Center en


su infraestructura de red existente
NSX Data Center está diseñado para ejecutarse sobre cualquier hard-
ware de red y, en la mayoría de los casos, se integra para unir el mundo
físico y el virtual utilizando la funcionalidad de portal de nivel 2. Estas
integraciones tienen en cuenta que en el entorno hiperdinámico del
centro de datos moderno, la red de transporte subyacente y las solucio-
nes de virtualización de redes superpuestas son actores codependientes
en la provisión de un rendimiento, una confiabilidad y una escala
óptimos.

Para permitir estas integraciones, VMware trabaja activamente con sus


socios de conmutación de nivel  2 para crear guías de arquitecturas y
diseño de referencia para la utilización de NSX Data Center como una
capa de superposición ágil que aproveche las capacidades de la infraes-
tructura subyacente.

72 Virtualización de redes For Dummies, 2.ª edición especial de VMware

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
Aquí tiene una muestra de los recursos técnicos que tiene a su disposi-
ción para guiarlo en la integración de NSX Data Center a su infraestruc-
tura de red existente:

»» Arista: Guía de diseño de referencia de virtualización de redes


de VMware y Arista para entornos VMware vSphere
(https://www.vmware.com/content/dam/digitalmarketing/
vmware/en/pdf/products/nsx/vmware-arista-nsx-design-
guide.pdf)
»» Cisco 9K: Diseño de referencia: Cómo implementar NSX con
infraestructura Cisco UCS y Nexus 9000 (https://communities.
vmware.com/docs/DOC-29373)
»» Dell: Virtualización de redes con infraestructura Dell y arquitectura
de referencia VMware NSX (https://communities.vmware.com/
docs/DOC-27684)
»» Juniper: Cómo conectar las redes físicas y virtuales con platafor-
mas VMware NSX y Juniper (https://communities.vmware.com/
docs/DOC-27610)

Cómo integrarse con sus socios del


ecosistema de servicios de red
Además de integrarse con su infraestructura de red existente, NSX Data
Center está diseñado para integrarse con soluciones de diversos servi-
cios de red, tales como dispositivos de balanceo de carga, y firewalls y
servicios de última generación.

»» Servicios físicos a virtuales del centro de datos: Arista


Networks, Dell EMC Open Networking, Extreme Networks, HPE,
Huawei, Juniper Networks
»» Servicios de seguridad: Bitdefender, CA Technologies, Check
Point, ESET, Fortinet, HyTrust, Juniper Networks, Kaspersky,
McAfee, Palo Alto Networks, Symantec, Trend Micro
»» Operaciones y visibilidad del centro de datos definido por
software (SDDC): AlgoSec, Dell EMC, Firemon, ForeScout,
Gigamon, NetScout, RedSeal, Riverbed, Skybox, Tufin

Para obtener una lista actualizada de los socios y recursos tecnológicos


de VMware, visite www.vmware.com/products/nsx/technology-
partners.html.
SUGERENCIA

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza 73

These materials are © 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
WILEY END USER LICENSE AGREEMENT
Go to www.wiley.com/go/eula to access Wiley’s ebook EULA.