Migrar servicios a IP: ¿Dónde conecto mi cafetera?

Las nuevas redes tienen que ser capaces de diferenciar entre distintos equipos en un mismo puerto, y poderles aplicar los servicios apropiados. Ya no sirve aplicar reglas al puerto, ¡las reglas se tienen que aplicar al equipo final que se conecta!

Migrar servicios a IP: ¿Dónde conecto mi cafetera?

3 julio 2009

LA OPINIÓN DEL EXPERTO

Hace poco me comentaban en un hospital que no eran partidarios de incorporar a su red acceso inalámbrico, pero que por otro lado, como la mayoría de los equipos que llevan médicos y enfermeras incorporan ya un chip wireless, utilizar esta capacidad les facilitaría enormemente la sincronización de los datos en tiempo real.

La pregunta que surge es: si cada vez más dispositivos están preparados para conectarse vía inalámbrica, ¿por qué no aprovecharlo y poner más servicios colgando de la red?

En los últimos años ha surgido una gran diversidad de equipos que incorporan la etiqueta “IP ready”. El motivo de este boom se debe, entre otros factores, a la utilización de un protocolo único de comunicación que evita desplegar cableados diferenciados para la voz, la imagen y los datos. El mismo cableado nos sirve para todo. Ahora el técnico que monta un teléfono, o una cámara IP, solo tiene que saber qué dirección IP poner, o configurar el cliente DHCP.

La migración de aplicaciones a IP ha obligado también a modificar la forma de pensar de algunas empresas. Antes, una oficina de 400 personas eran unos 500-550 puertos de red. Ahora, ya estamos viendo redes de más de 1.000 puertos para esas 400 personas (por ejemplo en edificios inteligentes).

La tecnología de red IP ha permitido migrar muchos servicios y ayudar a su gestión/monitorización desde un punto central de una gran variedad de elementos. Gracias a las posibilidades del software y al incremento de puertos y aplicaciones disponibles, han surgido nuevos servicios en red, como Comunicaciones Unificadas (integración de la telefonía fija, móvil, mensajería instantánea, agenda de reuniones de Outlook, directorio de teléfonos…), aparte de la utilización de la red como elemento de gestión o configuración de aparatos eléctricos tradicionales como neveras, sensores de temperatura del CPD, alarmas o cámaras IP entre otros.

La entrada en la red de estos nuevos equipos, ha ayudado a la creación de un sinfín de servicios, a los que nos estamos acostumbrando poco a poco y pronto consideraremos indispensables.

Movilidad y autenticación

Una vez tenemos definidos los servicios de red (VLAN, calidad de servicio, tipo de servicio, prioridades y filtrado) que vamos a aplicar a todo lo que se conecta a la red, nos enfrentamos al siguiente nivel: la movilidad dentro de la misma.

Hasta hace poco, los equipos no se movían de su sitio. Como mucho de vez en cuando, había que mover un departamento. Pero a medida que los equipos conectados incrementan, es importante disponer de herramientas que nos ayuden a gestionar todas las configuraciones de red. Ésta tiene que estar preparada para responder a las necesidades de un entorno cambiante, donde ya nadie tiene un sitio fijo.

Y teniendo en cuenta que con la telefonía IP nos podemos encontrar más de un equipo por puerto de acceso (y eso sin contar con los mini-switch de emergencia para incrementar los puertos en una zona), las nuevas redes tienen que ser capaces de diferenciar entre distintos equipos en un mismo puerto, y poderles aplicar los servicios apropiados. Ya no sirve aplicar reglas al puerto, ¡las reglas se tienen que aplicar al equipo final que se conecta!

La clave para poder asignar los servicios de red a cada equipo que se conecta, de forma dinámica y totalmente automatizada, es la autenticación. Gracias a ella, podemos asignar de forma dinámica estos servicios, en cualquier punto de la red, o incluso en una oficina diferente a la habitual. La red ya no está “abierta a todo”, sino que está latente. Cuando un equipo se conecta, lo autentificamos, y en base a quién es, dónde está, y qué hora es, podemos asignarles unos recursos u otros.

El login de una recepcionista no puede entrar en la red el domingo a media noche en un puerto del CPD, aunque su acreditación sea correcta. En ese caso, hay que denegar los servicios de red al equipo (y no al puerto), y avisar del evento. De la misma forma, un administrador de red tiene que disponer de sus accesos de gestión a la DMZ, esté donde esté de la red, ya sea en su oficina, su mismo edificio, país o continente.

Conclusiones

En resumen, cada día habrá más aplicaciones en la red, todas ellas con sus necesidades de calidad de servicio, filtrado del tráfico y limitaciones de ancho de banda. Estos servicios de red tendrán que ser asignados a todos los equipos de forma dinámica y automática para proporcionar la movilidad de un entorno flexible en constante evolución, sin penalizar la seguridad, y la facilidad de uso del usuario final, o del administrador de la red.

Donde hoy sólo vemos claro unas pocas aplicaciones conectadas a la red, pronto veremos que éstas se multiplican. Es importante dotar a las redes que se están migrando hoy, de herramientas para poder ser utilizadas al máximo en el futuro como el PoE, métodos de autenticación, asignación de recursos de red de forma dinámica, sistemas de localización, facilidad de uso, etc.

No es de extrañar que, en un futuro no muy lejano, los departamentos de IT puedan oír preguntas como «¿en qué puerto puedo conectar mi cafetera?» La respuesta tiene que ser: «donde tú quieras, la red ya sabe qué tiene que hacer».

Por Jordi Soler, ingeniero de Soluciones de Enterasys