Do You Control Your Network, or Does Your Network Control You?

Si hubiste invertido decenas de millones de dólares en la construcción de un sistema de red confiable, robusto y de alto rendimiento, ahora debes pensar en algunas preguntas serias: ¿qué habrás para garantizar un mejor rendimiento, una mayor confiabilidad y un mejor uso de tu red? ¿Serás proactivo o reaccionarás solo cuando tu sistema comience a ralentizarse y el uso excesivo de los interruptores comience a bloquear aplicaciones críticas? ¿El riesgo que representa tu sistema supera el costo para ti, tus clientes y tu reputación?

La respuesta a todas estas preguntas es el monitoreo de la red. Muchas personas piensan inmediatamente en las aplicaciones de seguridad cuando escuchan el término monitoreo de red. Sin embargo, si bien el monitoreo de la red incluye la capacidad de analizar posibles amenazas a la seguridad, como prevenir ataques de denegación de servicio y piratas informáticos, los administradores de red también pueden usarlo para monitorear el desempeño de su red en tiempo real e identificar cuellos de botella u otros problemas potenciales de desempeño. El monitoreo realizado correctamente debería permitirte ver el error, el rendimiento y los datos de uso, asegurando la precisión de los cambios, asegurándose de que produzcan solo los resultados deseados. Esto significa que puedes definir una línea de base del rendimiento de la aplicación antes de migrar o consolidar los componentes del centro de datos, monitorear el rendimiento durante el movimiento y luego optimizar el nuevo sistema para una máxima utilización, disponibilidad y rendimiento. En la actualidad, algunas de las principales instituciones financieras del mundo, grandes SAN comerciales y empresas de consumo más innovadoras utilizan los beneficios de este enfoque preventivo para obtener un retorno de sus inversiones en meses en lugar de años.

Hay dos tecnologías que se utilizan actualmente en los sistemas de monitoreo de redes: SPAN (analizador de puertos conmutados), también conocido como duplicación de puertos, y tap (puerto de acceso de tráfico). Un puerto SPAN copia el tráfico de cualquier puerto de tráfico a un solo puerto no utilizado. Los puertos SPAN también prohíben el tráfico bidireccional en ese puerto, para proteger contra el flujo inverso de tráfico a la red. El puerto SPAN luego dirige los paquetes desde su switch o enrutador al dispositivo de prueba para su análisis. Tap es un componente pasivo que permite el acceso no intrusivo a los datos que fluyen a través de la red, permitiendo el monitoreo de sus enlaces. Un tap utiliza una división óptica pasiva para transmitir tráfico en línea a un dispositivo de monitoreo conectado, sin interferencia del flujo de datos.

Para decidir qué tecnología es la adecuada para su red, comparemos estas dos soluciones. Algunas personas se refieren al spanning como una tecnología pasiva, pero un puerto SPAN no es realmente pasivo porque tiene un efecto mensurable en el tráfico de la red. El spanning cambia el tiempo de interacción del cuadro y los descarta si la velocidad del puerto SPAN se sobrecarga. El algoritmo de spanning utilizado por el dispositivo no es su enfoque principal. La conmutación o el enrutamiento, y, por lo tanto, el spanning se suspenderá si la replicación de un cuadro se convierte en un problema. El switch siempre tratará los datos SPAN con una prioridad menor que el tráfico normal. Además, los puertos SPAN descartan cualquier paquete dañado o debajo del tamaño mínimo, y lo hacen sin notificar al usuario. El switch también puede eliminar errores de capa 1 y algunos errores de capa 2, según el nivel de prioridad. Esto significa que es posible que tu dispositivo de monitoreo de red no reciba todos los datos necesarios para realizar un análisis preciso del rendimiento del sistema. Un puerto SPAN no puede replicar completamente ningún enlace dúplex.

A medida que los requisitos de ancho de banda aumentan a 1G y más, se necesita buscar una tecnología diferente que te permita ver todo el tráfico de la red en tiempo real, incluidos los errores e independientemente del tamaño del paquete. Un tap te permiten hacer esto y permite hacer precisamente eso. Los taps son realmente pasivos. Proporcionan visibilidad de cada paquete de datos, sin agregar ninguna carga adicional a la red. Los taps utilizan divisores ópticos para transformar tu conexión de patch panel “one-in-one-out” en una conexión “one-in-two-out”. Dado que el dispositivo simplemente divide la señal en lugar de replicarla, es posible tomar una parte de la señal fuera de línea o fuera de banda para analizar el tráfico de E/S sin afectar las aplicaciones activas. Como se trata de tráfico en tiempo real, tienes la garantía que recibirás todo el tráfico de enlaces en tiempo real, independientemente de la velocidad de transmisión de datos.

Es importante tener en cuenta que un ingeniero de red debe configurar un puerto SPAN, lejos de tareas más críticas. Además, si el puerto SPAN no se deshabilita durante una actualización de la red, es posible que este puerto se conecte para que sirva como puerto de red, creando un “loop de puente”, lo que resultará en problemas de rendimiento de la red. Como un tap es realmente pasivo, no necesita ser configurado y no requiere ninguno de los valiosos recursos de procesamiento de tus switches o el tiempo de programación de tus ingenieros de red.

Al comparar posibles tecnologías de monitoreo de redes, el costo también es algo a considerar. Además del gasto adicional de usar un ingeniero de red para configurar un puerto SPAN, el costo de monitorearlo aumenta, con velocidades de datos más altas. Esto se debe al hecho de que un puerto de switch 10G es más caro que un puerto de switch 1G. Sin embargo, un puerto tap 1G cuesta lo mismo que un puerto tap 10G o incluso 40G.  Por esta razón, la derivación óptica se está convirtiendo en una solución más popular para velocidades de datos más altas.

El spanning se puede utilizar con éxito como una tecnología de acceso para ancho de banda bajo, eventos de capa de aplicación como análisis de conversaciones, flujos de aplicaciones e informes de VoIP, pero no es una buena solución para monitorear el cumplimiento de la seguridad del tráfico o la interceptación legal debido a una falta de fidelidad absoluta. Si estés ejecutando un sistema de alta velocidad de datos y deseas garantizar un rendimiento óptimo de la infraestructura al tiempo que realiza la supervisión del cumplimiento del tráfico de seguridad o la interceptación legal, debes supervisar a nivel físico, realizar análisis a nivel de protocolo y recopilar todo el tráfico en tiempo real. Los taps te permiten hacer esto.

Aunque el tap es una mejor solución para la mayoría de las redes en la actualidad, no todos los taps se crean por igual. Un tap puede integrarse o no en tu cableado estructurado y puede utilizar divisores de cono bicónico fundidos (del inglés FBT) o divisores de película delgada. Los taps también se pueden presentar con diferentes tipos de conectores, algunos más útiles que otros.

Los taps integrados realizan la misma función que tu red de cableado estructurado normal, pero también envían una parte de la luz a la electrónica de monitoreo. Por otro lado, taps no integrados se implementan como dispositivos independientes fuera de tu red de cableado estructurado. Con los taps tradicionales no integrados, siempre que necesites cambiar los puertos monitoreados, el enlace debe desactivarse temporalmente para realizar nuevas conexiones entre los puertos monitoreados y los dispositivos de tap pasivos. Un módulo de tap integrado te permite realizar movimientos, adiciones y cambios en los puertos monitoreados, sin interrumpir la red EN VIVO, ahorrando hasta ocho horas de inactividad al año. Otra gran diferencia entre los taps integrados y no integrados son los puertos expuestos. Los taps no integrados tienen puertos expuestos para conexiones de red y monitoreo, mientras que los taps integrados exponen solo puertos de red. Para taps integrados, los puertos de monitoreo están conectados al backplane del sistema, lo que simplifica la infraestructura de cableado, aumenta la eficiencia operativa y, debido a que no hay puertos de monitoreo accesibles, proporciona un entorno más seguro.

Al incorporar las funciones de un tap en un módulo estándar, un módulo de tap integrado te permite ahorrar un valioso espacio en el rack, que se puede utilizar para equipos que generen ingresos. Con un módulo tap integrado, puedes cablear y disfrutar de hasta 72 puertos por unidad de rack (1RU) — manteniendo la misma densidad que un enlace sin tap.  Con una solución de tap no integrada, además del espacio de rack requerido para el cableado en sí, se necesitarían unidades de rack adicionales para aprovechar los 72 puertos cableados.

El rendimiento es una consideración importante en las redes de centros de datos. La integración de tap en tu solución de cableado estructurado elimina dos conexiones del enlace activo, en comparación con una solución no integrada. Esto, junto con el uso de tecnología de división multimodo de película fina de alto rendimiento, proporciona una atenuación de enlace reducida, lo que se traduce en distancias extendidas de Ethernet y Fibre Channel.

La pérdida no es lo único que puede afectar las distancias de Ethernet y Fibre Channel. Algunos módulos tap en el mercado actual todavía usan divisores FBT, lo que puede causar un aumento en las tasas de error de bit (del inglés BER) en función de dónde se colocan en el sistema, debido a las penalizaciones de transmisión que introducen. Los divisores de película delgada no introducen ninguna penalización de BER, por lo que tiene la flexibilidad de instalarlos en cualquier lugar de tu sistema, sin preocuparte por los efectos de BER.

Finalmente, los módulos tap integrados te permiten incorporar tap en todos tus enlaces el primer día, con la opción de monitorear solo los enlaces que necesitas. A medida que tus requisitos de monitoreo de red aumentan o cambian, simplemente agrega el cableado necesario entre los módulos de tap ya instalados y tu equipo de monitoreo de red. Como no es necesario cambiar tu infraestructura de cableado, no habrá interrupciones en la red. Además, como los módulos tap integrados ocupan el mismo espacio que los módulos MTP®/LC tradicionales, agregar monitoreo a una red existente es tan simple como reemplazar un módulo tradicional con un módulo tap.

Los taps se pueden presentar en varios tipos de conectores, pero tener un puerto tap presentado como un conector MTP® en la parte posterior del módulo ofrece la máxima flexibilidad al diseñar una red de cableado estructurado. La impresión del conector MTP permite la separación de puertos de red de producción en vivo y puertos tap en diferentes ubicaciones de gabinetes, si se desea. El uso de esta función para centralizar el equipo de monitoreo activo, en lugar de instalarlo en múltiples ubicaciones de gabinetes en todo el centro de datos, ofrece ahorros de costos al optimizar el uso del equipo de monitoreo activo y reducir el riesgo de errores de patch.

Corning ofrece una solución de tap óptico pasivo y totalmente integrada, que utiliza los últimos divisores de película fina de alto rendimiento, con nuestras soluciones de centro de datos EDGE™ y EDGE8®. Ambas soluciones incluyen un conjunto completo de componentes de cableado estructurados para admitir una red con tap.  Los productos Base-12 (EDGE) utilizan un conector MTP de 12 fibras para la conectividad con troncales, módulos y arneses que se ofrecen en incrementos de 12 fibras. Los productos Base-8 (EDGE) utilizan MTP de 8 fibras para la conectividad con troncales, módulos y arneses que se ofrecen en incrementos de 8 fibras. Una solución Base-8 proporciona una transición optimizada a velocidades de datos más altas, ya que los transceptores futuros están diseñados para usar óptica dúplex de 2 fibras o paralela de 8 fibras.

¿Por qué invertirías tu capital y apostarías tu reputación en un sistema en el que no puedes ver lo que está sucediendo y no puedes garantizar el rendimiento de la aplicación? No esperes hasta estar en medio de una interrupción importante del centro de datos para comenzar a pensar en el monitoreo de la red. Haz tu tarea e implementa un plan ahora mismo.