Redes definidas por software

Las redes definidas por software, en ingls Software Defined Networking (SDN), es un
conjunto de tcnicas relacionadas con el rea de redes computacionales, cuyo objetivo es
facilitar la implementacin e implantacin de servicios de red de una manera determinista,
dinmica y escalable, evitando al administrador de red gestionar dichos servicios a bajo
nivel. Todo esto se consigue mediante la separacin del plano de control (software)
del plano de datos (hardware).

Historia
Gracias a SDN, el diseo y gestin de redes se ha vuelto ms innovador en los ltimos
aos. Sin embargo, esta tecnologa no es resultado de una sbita aparicin, sino de una
larga historia de innovaciones dirigidas a hacer ms programables las redes. La historia de
SDN comienza 20 aos atrs, ms o menos en el comienzo de lo que hoy conocemos
como Internet, el cual, debido a su xito, intensific la necesidad de gestionar y
evolucionar las infraestructuras de redes, es decir, hacerlas programables. A partir de este
momento, la historia se divide en tres etapas diferenciadas: redes activas (1995-2000
aprox.), separacin del plano de control del plano de datos (2001-2007 aprox.) y la
aparicin de la interfaz de programacin de aplicaciones de Openflow (2007-2010 aprox.).
En 2014 Avaya demostrado Software define Networking usando Shortest Path
Bridging y OpenStack removong configuracin Malual.

Redes activas
El despegue de Internet, a principio de los 90, provoc que las aplicaciones antiguas
fueran superadas por otras ms novedosas. El aumento del uso de estas llev a los
investigadores a disear y probar nuevos protocolos de red. Sin embargo, despus de este
proceso, estos protocolos deban ser estandarizados por el IETF, proceso muy lento que
frustraba a muchos investigadores.
Como respuesta, algunos investigadores apostaron por un enfoque de apertura del control
de las redes, anlogo a reprogramar un PC autnomo con relativa facilidad. Como las
redes convencionales no son programables, surgieron las redes activas (Active
Networking) orientadas hacia el control de la red, conceptualizando una interfaz de
programacin (API) que expone los recursos (procesamiento, almacenamiento, colas de
paquetes, etc) en nodos de red individuales y soporta la construccin de funcionalidades
personalizadas para aplicar a un subconjunto de paquetes que pasan a travs del nodo.
Sin embargo, haba muchos otros que defendan la simplicidad de la red como nica forma
de que Internet tuviese xito. El programa de investigacin de las redes activas se dedic
por lo tanto, a explorar alternativas a los servicios proporcionados por Internet va IP o
ATM.
El impulso tecnolgico que alent a las redes activas permiti reducir el coste
computacional, avanzar en lenguajes de programacin y en la tecnologa de mquinas
virtuales. Un catalizador importante en este ecosistema fue el aumento de inters de
agencias, que supuso la creacin de programas como el Active Networks program del
DARPA, desde mediados de los 90 hasta principios de los 2000.
Las redes activas, por lo tanto, aunque no tuvieron un despliegue extendido, ofrecieron
contribuciones relacionadas con SDN como funciones programables en la red,
virtualizacin de redes y la visin de una arquitectura unificada en distintos aparatos de red
(middleboxes) como firewalls, IDSs, NATs, etc.

Separacin de plano de control y datos

A principios de los 2000, el aumento del volumen de trfico y la necesidad de unas redes
de confianza, predecibles y manejables, llevo a los investigadores a buscar mejores
enfoques para ciertas funciones dentro de la gestin de redes como la ingeniera de

trfico, cuyos recursos y mtodos usando protocolos de enrutamiento convencionales eran

muy escasos.
Los routers y switches convencionales, tenan una estrecha integracin entre los planos de
control y de datos, que realizaba depuracin de problemas de configuracin o control del
comportamiento del enrutamiento, una tarea muy desafiante y complicada. Para
enfrentarse a dicha tarea, la idea de separar ambos planos empez a florecer con distintos
enfoques.
Debido al crecimiento de Internet, las empresas de equipos hardware comenzaron a
implementar la lgica de reenvo de paquetes en hardware (plano de datos), separada del
plano de control y los ISPs a luchar para poder gestionar sus redes crecientes y poder
aportar a sus clientes servicios que las hiciesen ms seguras (como VPNs). Todo esto dio
lugar a dos innovaciones principales: una interfaz abierta entre ambos planos, como
ForCES (Forwarding and Control Element Separation) estandarizada por la IETF y la
interfaz Netlink a la funcionalidad de reenvo de paquetes a nivel de ncleo de Linux; y un
control lgico centralizado de la red, como con RCP (Routing Control Platform),
arquitecturas SoftRouter y el protocolo PCE (Path Computation Element) del IETF, ambos
conceptos clave en diseos futuros de SDN.

Aparicin de la API de Openflow

Para abordar la visin de separacin de plano de datos y de control, se empez a
investigar nuevas arquitecturas para control lgico centralizado. El proyecto 4D, uno de los
frutos de estas investigaciones, estableca cuatro capas principales: el plano de datos
(data plane), para procesar paquetes basndose en reglas configurables; el plano de
descubrimiento (discovery plane), encargado de coleccionar medidas topolgicas y del
trfico; el plano de diseminacin (dissemination plane), para instalar reglas de procesado
de paquetes; y el plano de decisin, que consista en controladores lgicos centralizados
que convertan objetivos a nivel de red en estado de manejo de paquetes. Numerosos
grupos de investigacin comenzaron el desarrollo de sistemas basados en este enfoque, y
en particular, el proyecto Ethane, y su predecesor directo SANE. El despliegue operacional
de este proyecto en la universidad de Stanford, comenz la etapa de creacin de
Openflow, y en particular, el diseo simple de switch del proyecto Ethane, se convirti en la
base de la API de Openflow.
A mediados de la primera dcada del siglo XXI, diversos grupos de investigacin y
empresas empezaron a interesarse por la experimentacin de redes a escala, debido al
xito de infraestructuras experimentales como PlanetLab y Emulab, y la disponibilidad de
ms fondos por parte del gobierno para invertir en este sector. Uno de los resultados de
este entusiasmo fue la creacin de GENI (Global Environment for Networking Innovations)
y el programa EU FIRE. Al mismo tiempo, en la universidad de Stanford, un grupo de
investigadores cre el Clean Slate Program, enfocado en la experimentacin en redes
universitarias (campus networks) ms tratables y locales, que dio lugar al protocolo
Openflow.
Gracias a la adopcin de Openflow en las empresas, que abrieron sus APIs para permitir a
los programadores controlar ciertos comportamientos de reenvo, la versin inicial de este
protocolo se estableci en los switches a travs de una simple actualizacin de firmware,
sin necesidad de actualizar el hardware.
Openflow, aunque utilice muchos de los principios de anteriores trabajos en la separacin
de planos, tambin aporta bastantes contribuciones como la generalizacin de dispositivos
de red y funciones, la visin de un sistema operativo de red y tcnicas de gestin
distribuida del estado de aparatos de red entre otras.

Por qu SDN?
Limitaciones de las tecnologas de redes actuales

Hacer frente a los requerimientos de telecomunicaciones por parte del pblico mundial, es
imposible con las redes tradicionales. Los departamentos de IT de infinidad de empresas y
proveedores de servicios de redes, estn intentando aprovechar al mximo sus redes,
invirtiendo gran parte de sus beneficios en esta tarea. Sin embargo, esta es una solucin
temporal, ya que de ninguna manera las arquitecturas de red actuales estn diseadas
para conocer los requerimientos actuales de usuarios, empresas y proveedores. Las
limitaciones de las redes actuales incluyen:

Complejidad: Para acomodar las redes a las necesidades de sus usuarios en

general, la industria ha mejorado los protocolos de red para ser ms seguros y
eficientes. Los protocolos tienden a ser definidos en aislamiento, sin embargo, con
cada uno resolviendo un problema especfico y sin el beneficio de una accin conjunta
(abstracciones).

Polticas inconsistentes: Para implementar una poltica que abarque a la red

completamente, los administradores de red, deben configurar miles de mecanismos y
aparatos. Por ejemplo, todas las veces que una nueva mquina virtual se introduce en
la red, puede llevar horas, en algunos casos das, hasta que el administrador
encargado reconfigura las listas de acceso (ACL) en toda la red.

Imposibilidad de escalabilidad: A la vez que las demandas de centros de datos

aumentan rpidamente, la red debe crecer de la misma forma. Sin embargo, la red se
vuelve ms compleja con la suma de cientos de miles de aparatos de red que deben
ser configurados y gestionados.

Dependencia del vendedor: Las nuevas capacidades y servicios perseguidos por

proveedores y empresas en respuesta rpida a las necesidades dinmicas de
negocios y demanda de clientes, se ven frenadas por los ciclos de produccin de los
equipamientos por parte de los vendedores, que pueden abarcar hasta ms de tres
aos.

Necesidad de una nueva arquitectura de red

Los servicios de red surgidos en los ltimos tiempos, estn llevando a las redes
tradicionales a sus lmites. Algunos de los elementos que estn llevando a la necesidad de
una nueva arquitectura de red son los siguientes:

Heterogeneidad en los patrones de trfico: En contraposicin con las

aplicaciones cliente-servidor en las que la gran parte de la comunicacin ocurre entre
un cliente y un servidor, las aplicaciones modernas crean trfico mquina a mquina
mediante accesos a bases de datos y servidores, antes del retorno de los datos al
usuario final. Adems, los usuarios estn cambiando los patrones de trfico, al poder

conectarse desde cualquier punto en cualquier momento en determinadas redes

inalmbricas.

Aumento de carga de trabajo considerable de los administradores de red: Los

administradores, se ven bajo presin a la hora de proteger los datos de los usuarios y
mantener la seguridad en las redes, mientras nuevos dispositivos mviles, como
smartphones y tablets, acceden a la red.

El aumento de los servicios de cloud : Este aumento, principalmente debido a la

gran acogida por parte de las empresas en el plano pblico y privado, junto a la
necesidad actual de aumentar la agilidad de acceso a aplicaciones, infraestructuras y
otros recursos de telecomunicaciones y junto a la complejidad de mejorar la seguridad
de estos servicios, requieren una escalabilidad dinmica de la capacidad de cmputo,
almacenamiento y recursos de red.

Big data y el aumento de ancho de banda requerido: Manejar un big

data actualmente, requiere procesamiento masivo por parte de miles de servidores. El
aumento constante de ste, lleva a una demanda constante de ancho de banda a los
proveedores de redes.

Aqu es donde SDN se convierte en esta arquitectura deseada, con el potencial de

revolucionar todo el mundo de las redes, otorgando una manera flexible de controlarlas.

Beneficios de SDN
Adems de ofrecer redes centralizadas programables que pueden atender dinmicamente
las necesidades de las empresas, SDN provee los siguientes beneficios:

Reduce el Capex (Capital Expenditures): Mediante la posibilidad de reutilizar el

hardware existente, SDN limita la necesidad de invertir en hardware nuevo.

Reduce el Opex (Operating Expense): SDN permite control algortmico de la red

de elementos de red, como switches/routers (hardware y software) que cada vez son
ms programables, haciendo ms sencillo la configuracin y gestin de las redes.
Adems, esto permite una reduccin del tiempo de gestin por parte de los
administradores, lo que reduce la probabilidad de error humano.

Agilidad y flexibilidad: SDN permite a las organizaciones desplegar aplicaciones,

servicios e infraestructuras rpidamente para alcanzar los objetivos propuestos por
empresas en el menor tiempo posible.

Permite innovacin: Permite crear nuevos tipos de aplicaciones y modelos de

negocio por parte de las empresas, que las beneficia y aumenta el valor de sus redes.

SDN no es Openflow
A menudo se apunta a Openflow como sinnimo de SDN, pero en realidad, es
simplemente un elemento que forma parte de la arquitectura SDN. Openflow es un
estndar abierto para un protocolo de comunicaciones que permite al plano de control
interactuar con el plano de datos (Openflow, sin embargo, no es el nico protocolo
disponible o en desarrollo para SDN, aunque s est convirtindose en el modelo estndar
de implementacin de una SDN).

Concepto de SDN

Arquitectura simplificada de SDN utilizando el protocolo Openflow

Software-Defined Networking (SDN) es una arquitectura de red cuyo dinamismo,

manejabilidad, rentabilidad y adaptabilidad permiten que sea adecuada para la naturaleza
dinmica y de alto consumo de ancho de banda de las aplicaciones modernas. Como
hemos visto en apartados anteriores, SDN separa el control de la red de las funciones de
reenvo con una bien definida API entre ambos, permitiendo la programabilidad del control
de red y la abstraccin de la infraestructura subyacente.

Funcionamiento de SDN
Los proveedores de redes SDN ofrecen una amplia variedad de arquitecturas
competentes, centradas en el objetivo comentado anteriormente: separar el plano de
control del plano de datos, y formadas por un controlador SDN, una API "hacia el sur"
(southbound API) y una API "hacia el norte" (northbound API).
Controlador SDN

Un controlador SDN en una red SDN toma el papel del "cerebro" de dicha red, es decir, el
punto de control estratgico que retransmite informacin a losswitches/routers de debajo (a
travs del southbound API) y a las aplicaciones y la lgica de negocio encima (a travs
del northbound API). Recientemente, se persigue la tarea de asociar dominios de
controladores SDN, usando interfaces de aplicaciones comunes, como los
protocolos Openflow y OVSDB (Open
Virtual
Switch
DataBase).
Un controlador SDN se basa tpicamente en un conjunto de mdulos pluggable (que se
pueden conectar y desconectar libre y fcilmente), que realizan diversas tareas de red,
como realizar un inventario de todos los aparatos de red disponibles en sta, colectar sus
capacidades, agrupar estadsticas de red, etc.
Northbound y Southbound APIs
Como comentbamos en el subapartado anterior, estas interfaces sirven para conectar el
controlador SDN a los aparatos de red por debajo (southbound) y por otro a los servicios y
aplicaciones por encima (northbound). Los Southbound APIs facilitan el control en la red,
permitiendo al controlador realizar cambios dinmicos de acuerdo a las demandas en
tiempo real y las necesidades. Openflow, desarrollado por la ONF (Open Networking
Foundation) es la primera y ms conocida de estas interfaces. Adems de sta, Cisco
OpFlex es otra bien conocida.
Las Northbound APIs en cambio, pueden ser usadas para facilitar la innovacin y permitir
la organizacin y automatizacin de la red para suplir las necesidades de las diferentes
aplicaciones a travs de la programabilidad de la red SDN. Se podra decir que estas
interfaces son las ms crticas en un entorno SDN, debido a que soportan una gran
variedad de aplicaciones y servicios por encima y por lo tanto con algunas de ellas no
funciona correctamente. Hay una amplia variedad de posibles interfaces de este tipo
situadas en diferentes lugares de la pila para controlar los diferentes tipos de aplicaciones
a travs del controlador SDN. Sin embargo, estas interfaces son el componente ms
indeterminado de todo el entorno SDN, lo que ha resultado en un enfoque por parte de la
ONF hacia este componente.

Arquitectura de SDN

Visin esquemtica de la arquitectura de SDN

Aunque la ONF est continuamente modificando la terminologa, los trminos ms

comunes para los componentes de esta arquitectura son los siguientes:

Aplicacin SDN (SDN App): Las aplicaciones SDN son programas que
directamente comunican las necesidades y los comportamientos deseados de su red
al controlador SDN a travs de los NBIs. Estn formadas por una lgica de aplicacin
y uno o ms NBIs.

Controlador SDN (SDN Controller): Entidad lgica de control encargada de

traducir las peticiones de la aplicacin SDN a las rutas de datos ms abajo, dando a la
capa de aplicacin una visin abstracta de la red mediante estadsticas y posibles
eventos. Un controlador SDN consiste en uno o ms NBIs, la lgica de control SDN y
el CDPI driver.

Ruta de datos SDN (SDN Datapath): Componente lgico que expone visibilidad y
control sobre sus capacidades de reenvo y procesamiento. La representacin lgica,
por lo tanto, puede abarcar todos o un subconjunto de los recursos fsicos. Est

formado por un agente CDPI, un conjunto de motores de reenvo y de funciones de

procesamiento, que incluyen simples reenvos entre interfaces externas de sta y
procesamiento interno del trfico. Las rutas de datos pueden contenerse en un nico
elemento de red (fsico).

Interfaz SDN del plano de control al plano de datos (SDN Control to DataPlane Interface, CDPI): Interfaz entre el controlador y la ruta de datos, que provee
programabilidad a la hora del reenvo, anuncio de capacidades, reporte estadstico y
notificacin de eventos.

Interfaces "hacia el norte" SDN (NBI): Son interfaces entre las aplicaciones SDN
y los controladores que proveen vistas abstractas del comportamiento de la red y sus
requerimientos.

"Conductores" y "agentes" de interfaz (Interface Drivers & Agents): Cada

interfaz es implementada por un par de este tipo, que representa el fondo (relacionado
con la infraestructura) y la cima (relacionada con la aplicacin).

Gestin y administracin (Management & Admin): El plano de gestin cubre

tareas estticas, manejadas mejor fuera de los planos de aplicacin, control y datos,
como la asignacin de recursos a los clientes, la configuracinn de equipos fsicos y la
cooncordancia entre alcanzabilidad y credenciales entre entidades fsicas y lgicas.

Modelos de despliegue de SDN

Hay dos modelos: proactivo y reactivo. Cuando un flujo llega a un switch se realiza un
mapeo de la tabla de flujos. En el caso de que no se encuentre coincidencia, se enva una
peticin al controlador para instrucciones ms extensas. En modo reactivo, el controlador
acta despus de estas peticiones y crea una regla en la tabla de flujos para el paquete
correspondiente si es necesario. En modo proactivo, sin embargo, el controlador llena
entradas de la tabla de flujos para cada posible coincidencia de trfico para ese switch,
algo parecido con las tpicas entradas de tablas de enrutamiento. Adems de estos
modelos por separados, se puede combinar en una red ambos modelos en forma de un
hbrido, para aportar las ventajas de ambos.

Programabilidad en redes SDN

Gran
parte
de
la
programabilidad
en
SDN,
reside
en
las
APIs
abiertas northbound y southbound. La promesa de SDN de crear una infraestructura
mucho ms gil y flexible es desarrollada principalmente mediante la transformacin de la
red a una ms programable. Existen tres ejemplos principales de uso, para establecer qu
significa programabilidad para las redes SDN:

Ajustar los flujos. Este caso se centra en protocolos, como Openflow, que
permiten a los controladores SDN interaccin con los aparatos de red en el plano de

datos para ajustar cmo el trfico fluye por la red, ayudando a resolver las demandas
en sta.

Soporte de aplicaciones. Este caso, se preocupa por la coordinacin,

automatizacin (para poder desplegar rpidamente gran nmero de aplicaciones y
servicios nuevos) y el manejo de excepciones de una red, para acompasar mejor las
necesidades de las aplicaciones que corren en ella.

Automatizacin de las redes. Este ltimo caso, se centra en la no interferencia

del administrador de la red en las acciones que realiza la red de forma automtica
cuando algn problema sucede (cuando algo sucede, la inteligencia de la red se debe
encargar de ello).

Desafos de seguridad en entornos SDN

La seguridad, como en todo tipo de redes, es un aspecto crucial en redes SDN, para
proteger la disponibilidad, integridad y privacidad de la informacin que transporta. La
seguridad en estas redes, aunque existen enfoques competentes, todava est en juego,
ya que estos enfoques no convergen en una idea comn. A pesar de estas diferencias, es
claro, que las soluciones deben crear un entorno escalable, eficiente y seguro. Adems, la
seguridad debe ser simple de configurar (debido al dinamismo de la red) y efectiva (para
asegurar que pueda desplegarse en cualquier parte). En la arquitectura, hay varios
elementos que deben ser protegidos y acciones a llevar a cabo:

Asegurar y proteger el controlador. Debido a que es el centro de control y

decisin de la red, debe ser cuidadosamente controlado. Adems, si se produce por
ejemplo un ataque DDoS al controlador y cae vctima de este, la red cae con l, por lo
que debe estar protegido con los mecanismos de seguridad necesarios para afianzar
su disponibilidad continua.

Privacidad e integridad. La proteccin de las comunicaciones en la red es crtica,

por lo que se debe asegurar el controlador, las aplicaciones que carga y los
dispositivos de red que gestiona y autenticar, estableciendo unos mecanismos que
permitan que son quien dicen ser y adems funcionan correctamente.

Crear un framework de poltica robusto. Es necesario estar seguro de que el

controlador (y dems dispositivos) estn haciendo lo que queremos que hagan, por lo
que habr que realizar comprobaciones continuas de los sistemas en general.

Llevar a cabo anlisis forenses de la red. Para poder determinar, en caso de un

ataque, quin lo realiz, reportarlo y proteger la red de cara al futuro.

Open Networking Foundation

La Open Networking Foundation (ONF) es una organizacin impulsada por los usuarios
dedicada a la promocin y adopcin de SDN a travs del desarrollo de estndares
abiertos. Esta organizacin, enfatiza la colaboracin y el proceso abierto de desarrollo
conducido por los usuarios, dando como resultado el mantenimiento del estndar
abierto Openflow, el primer estndar SDN y un elemento vital para las arquitecturas
abiertas de SDN.
Hoy en da las comunidades de esta organizacin siguen analizando los requerimientos de
SDN y mejorando el estndar Openflow, para beneficiar SDN con nuevos estndares y
suplir las necesidades de despliegues comerciales.

Conclusin
SDN provee una nueva arquitectura de red dinmica que transforma los ncleos de red
tradicionales (backbone) en plataformas de distribucin de servicios.
En cuestin de manejo de redes, cada vez se confiar ms y ms en el software, que
acelerar la innovacin de stas, como ha conseguido en los dominios de computacin y
almacenamiento. Con todas estas ventajas que permite el uso de software, SDN est en el
camino de convertirse en la nueva regla para redes en un futuro cercano.