067 | Redundancia de canales de comunicación entre oficinas (VPN Site-to-Site, MPLS, fibra oscura)

Redundancia de enlaces de comunicación entre oficinas (Site-to-Site VPN, MPLS, Dark Fiber)

Ya hemos hablado de cómo asegurar la conectividad dentro de un mismo edificio. Ahora veamos un aspecto más complejo, pero igual de importante: la redundancia de los enlaces de comunicación entre oficinas o sucursales geográficamente distribuidas. Esto es crítico para empresas donde el personal en distintas ubicaciones debe intercambiar datos continuamente, acceder a recursos compartidos (por ejemplo, la CRM central, servidores de archivos, telefonía IP) y trabajar como una sola unidad.

Una falla en la conexión entre oficinas puede paralizar el trabajo de departamentos completos, causar pérdida de datos y provocar pérdidas financieras y de reputación significativas.

Especificidad del problema: sucursales distribuidas

La característica clave aquí es la dependencia de proveedores externos y redes públicas. Tu infraestructura ya no está limitada por las paredes de un solo edificio. Esto significa que te enfrentas a riesgos como:

• Rupturas de cables troncales de los proveedores.
• Fallos en el equipo del proveedor.
• Problemas de enrutamiento en Internet.
• Retrasos y pérdida de paquetes en largas distancias.

Soluciones típicas para comunicaciones interoficina resistentes a fallos

Para asegurar la continuidad de la comunicación entre sucursales se aplican los siguientes enfoques:

1. Dos proveedores de Internet independientes en cada oficina

Es un paso fundamental. En cada oficina que quieras conectar es necesario tener dos conexiones a Internet independientes de distintos proveedores.

• Diferentes puntos de entrada físicos: En la medida de lo posible, los cables de distintos proveedores deberían entrar al edificio por lados distintos y/o por rutas físicas distintas.
• Diferentes sistemas autónomos (AS): Esto significa que los proveedores usan rutas diferentes en la red global, lo que reduce el riesgo de una falla simultánea causada por un problema único en la troncal.

2. Varios túneles VPN (IPsec/OpenVPN)

La VPN (Red Privada Virtual) es la forma más popular de crear un canal seguro entre oficinas a través de Internet público. Para redundancia:

• Dos túneles VPN a través de distintos proveedores: Configura dos túneles VPN separados entre cada oficina: uno a través del proveedor principal y otro a través del proveedor de respaldo.
• Enrutamiento dinámico sobre la VPN (OSPF/BGP): Para automatizar el cambio, utiliza protocolos de enrutamiento dinámico (por ejemplo, OSPF o BGP) sobre estos túneles VPN. Los routers detectarán automáticamente la caída de un túnel y redirigirán el tráfico por el otro. Esto proporciona conmutación automática por error (failover).
• Balanceo de carga/Failover de VPN: Algunos routers o firewalls permiten configurar balanceo de carga o conmutación automática entre túneles VPN.

3. MPLS VPN (Multi-Protocol Label Switching)

MPLS VPN es una solución más avanzada ofrecida por los proveedores de servicios que crea una red privada sobre su infraestructura.

• Dos enlaces MPLS distintos: Puedes contratar dos circuitos MPLS con uno o varios proveedores. MPLS suele ofrecer un rendimiento y seguridad más predecibles que una VPN sobre Internet público.
• Ventajas: Alto rendimiento, baja latencia, calidad de servicio garantizada (QoS).
• Desventajas: Más costoso, más complejo de configurar y gestionar para el cliente.

4. Fibra oscura (Dark Fiber)

Para infraestructuras muy críticas que requieren máxima capacidad, latencias mínimas y control total, las empresas pueden alquilar fibra oscura: un cable de fibra óptica que el proveedor ha tendido pero no ha terminado en su equipo activo.

• Tu control: Instalas tu propio equipo activo (switches, multiplexores) en ambos extremos.
• Máxima resiliencia: Se pueden alquilar dos fibras independientes por rutas físicas distintas.
• Desventajas: Muy caro, requiere conocimientos técnicos significativos y equipamiento.

5. Soluciones SD-WAN (Software-Defined Wide Area Network)

SD-WAN es un enfoque moderno que permite gestionar centralizadamente múltiples enlaces (ADSL/DSL, fibra, LTE, MPLS) de distintos proveedores.

• Enrutamiento inteligente: El controlador SD-WAN puede determinar automáticamente la mejor ruta para el tráfico (en base a latencia, pérdida de paquetes, ancho de banda) y cambiar dinámicamente el tráfico entre enlaces.
• Balanceo de carga: Distribuye el tráfico entre varios enlaces para aumentar el ancho de banda total.
• Ventajas: Simplifica la gestión de configuraciones multicanal complejas, mejora el rendimiento y la resiliencia.
• Desventajas: Requiere equipo o software especializado, puede ser costoso.

6. Routers/firewalls redundantes

Incluso si tienes dos enlaces, pueden volverse inútiles si falla el único equipo de red al que están conectados.

• Usa routers o firewalls redundantes en cada oficina.
• Configura protocolos de alta disponibilidad como VRRP (Virtual Router Redundancy Protocol) o HSRP (Hot Standby Router Protocol) para asegurar la conmutación automática del gateway por defecto en caso de falla del dispositivo activo.
• Soluciones en clúster de firewalls también proporcionan una alta disponibilidad transparente.

¿Qué falla a este nivel?

• Rupturas de enlaces en el lado del proveedor (desde locales hasta troncales).
• Fallos de equipo del proveedor (routers, switches, DSLAM).
• Fallos de tu equipo de red (routers, firewalls) en las oficinas.
• Problemas de configuración o software que provocan la caída de túneles VPN.

Escenarios de conmutación

• Automático: La opción ideal. Se consigue mediante BGP, OSPF, VRRP/HSRP o soluciones SD-WAN inteligentes. El tiempo de inactividad se mide en milisegundos o segundos.
• Semi-automático/Manual: Requiere intervención del administrador para activar el canal de respaldo. El tiempo de inactividad puede ser de minutos u horas. Incluye cambios de rutas o levantar manualmente un túnel VPN.

Monitorización

La monitorización continua y proactiva es crítica:

• Disponibilidad de nodos remotos/oficinas: pings, comprobaciones TCP a servicios clave.
• Latencia y pérdida de paquetes: para cada enlace, para detectar degradación antes del fallo total.
• Estado de los túneles VPN: si están activos o si hay errores.
• Estado de las vecindades BGP/OSPF: si los protocolos de enrutamiento funcionan correctamente.

Conclusión

Asegurar la redundancia de la comunicación entre oficinas es una tarea compleja pero vital. Requiere un enfoque multinivel que incluya redundancia de proveedores, uso de múltiples túneles VPN (preferiblemente con enrutamiento dinámico), consideración de MPLS o SD-WAN para escenarios críticos, y redundancia del propio equipo de red. Una red interoficina bien diseñada y monitorizada será un pilar fiable para un negocio distribuido.

En nuestro artículo final de esta serie hablaremos sobre la redundancia de enlaces a Internet para tus servicios web y centros de datos, que es la cima de la resiliencia en la red global.