Comienza a construir

Cómo migrar tu arquitectura MPLS

Las organizaciones a menudo se ven limitadas por su dependencia de MPLS. Estos son los pasos necesarios para migrar de una red MPLS a una arquitectura de red más flexible, escalable, segura y rentable.

Resumen del artículo:

  • Documenta la topología y el ancho de banda actuales de la red para establecer una línea base de rendimiento. A continuación, selecciona un proveedor que admita entornos híbridos para garantizar una transición fluida de la migración de MPLS.
  • Implementa SD-WAN o SASE para sustituir los circuitos vinculados a una ubicación y poco flexibles. Esta modernización mejora la escalabilidad, reduce los costes operativos y acelera el rendimiento de las aplicaciones para los equipos de trabajo distribuidos que priorizan la nube.
  • Realiza la transición de las filiales utilizando túneles Anycast GRE o IPsec sobre banda ancha. Migra progresivamente el tráfico hacia servicios de red basados en la nube y la seguridad Zero Trust antes de retirar un circuito privado existente.

Cómo migrar tu arquitectura MPLS

La conmutación de etiquetas multiprotocolo (MPLS) ofrece estabilidad y niveles de servicio predecibles, y permite a las empresas conectar sus filiales. No obstante, debido a su carácter estático, esta arquitectura es poco adecuada para las nuevas modalidades de trabajo, la informática en la nube y, en concreto, la integración de la inteligencia artificial (IA) en los flujos de trabajo.

Para aumentar la flexibilidad, la escalabilidad y la seguridad de la red, las empresas a menudo modernizan sus redes mediante la migración de MPLS a modelos de red alternativos, como SD-WAN o SASE (este último integra de forma nativa los principios de la seguridad Zero Trust). En la década de 2010, la adopción de SD-WAN fue una medida que aplicaron muchas empresas. Sin embargo, hoy en día las organizaciones consideran que esta solución por sí sola presenta limitaciones, y quieren continuar su proceso de modernización con la migración directa a SASE.

La modernización de la red puede ser un proceso intensivo que dure semanas o meses, pero del que las organizaciones pueden beneficiarse durante muchos años. Estas son algunas de las ventajas que ofrece:

  • Una conectividad más sencilla
  • Un rendimiento más rápido de la red y de las aplicaciones
  • Una seguridad escalable
  • Una mayor agilidad
  • Menores costes operativos

Cómo migrar de MPLS a SD-WAN

1. Evaluación y documentación de la configuración de la red actual

Documenta las necesidades de ancho de banda, las aplicaciones esenciales y la topología de la red. Es fundamental registrar una línea base del rendimiento de la red, ya que proporciona un punto de comparación cuando se prueba por primera vez la migración a SD-WAN.

2. Selección de un proveedor de SD-WAN

No todos los proveedores ofrecen las mismas funciones ni los mismos niveles de soporte. Comprueba que el proveedor seleccionado pueda admitir tus aplicaciones esenciales y tus otros requisitos fundamentales.

Muchas organizaciones tienen sistemas o infraestructuras esenciales que no se pueden migrar de la red MPLS. Una migración parcial a SD-WAN también puede ayudarles a optimizar gran parte de su red. En estos casos, las empresas deben seleccionar un proveedor que pueda admitir los entornos de red híbridos.

3. Elaboración de un plan de migración

Define el estado futuro de la red migrada, determina las medidas necesarias para alcanzarlo y, a continuación, decide qué partes de la red deben migrarse primero. Establece una planificación para la migración.

4. Ejecución de la migración

Comienza a trasladar partes de la red al proveedor de SD-WAN de acuerdo con el plan establecido en el paso 3. Muchas organizaciones empiezan con la migración de la red de una sola filial, seguida de una evaluación del rendimiento, antes de migrar otras partes de la red. Conserva los sistemas existentes como copia de seguridad antes de la transición definitiva a la nueva red.

5. Supervisión del rendimiento posterior a la migración

Antes de desactivar por completo los sistemas anteriores, asegúrate de que el rendimiento de la nueva configuración es superior al rendimiento de línea base documentado en el paso 1.

Por qué SASE es la evolución de SD-WAN

Aunque a menudo se piensa en SD-WAN como la siguiente etapa del proceso de modernización de la red de las organizaciones, esta solución por sí sola presenta muchas carencias en materia de rendimiento y seguridad, que pueden seguir obstaculizando el crecimiento de la organización. En concreto, una red SD-WAN está diseñada para conectar edificios, no personas. Como resultado, una dependencia exclusiva de SD-WAN significa que la conectividad está básicamente ligada a la ubicación. Esta no es la opción idónea para la forma de trabajar de muchas organizaciones modernas. Un modelo SASE sustituye las reglas dependientes de la ubicación por un conjunto unificado de políticas y experiencias que nunca cambian, ya sea que el usuario esté en su escritorio de la oficina o en un desplazamiento.

El perímetro de servicio de acceso seguro (SASE) es el siguiente paso lógico de la modernización de la red. En SASE, la seguridad está integrada en un modelo de red flexible y definido por software. Es una arquitectura basada en la nube que combina la conectividad de red y la seguridad Zero Trust integral en una única plataforma unificada.

Cómo migrar de MPLS a SASE

Libro electrónico
Las 10 etapas clave del proceso hacia una arquitectura SASE integral
Solicitar guía

1. Modernización del acceso de los usuarios a las aplicaciones

Adopta una política que conecte a los usuarios solo con las aplicaciones específicas que están autorizados a utilizar, a través de los controles de acceso a la red Zero Trust (ZTNA), en lugar del acceso generalizado que proporcionan las VPN. Para una mayor flexibilidad, SASE se basa en una serie de métodos de conectividad, no exclusivamente en circuitos privados; por lo tanto, los datos, las aplicaciones, las redes y los usuarios internos deben estar protegidos independientemente de su ubicación o de cómo se conecten. Para empezar:

  • Aplica la autenticación multifactor (MFA) en las aplicaciones esenciales.
  • Implementa políticas Zero Trust para el acceso a las aplicaciones esenciales.
  • Utiliza filtros avanzados para el phishing en el tráfico de correo electrónico.
  • Cierra todos los puertos de entrada abiertos a Internet para la entrega de aplicaciones.
  • Utiliza un filtrado de DNS global para bloquear las solicitudes peligrosas.

2. Sustitución de los circuitos privados por el acceso a Internet de banda ancha para la conectividad de las filiales

Aquí el objetivo es pasar de los circuitos privados a los servicios de red en la nube, con el tráfico de red y las aplicaciones protegidos por ZTNA en lugar de las VPN y soluciones específicas locales en las redes de las filiales. Estos son los pasos:

  1. Elige dos ubicaciones conectadas por MPLS para empezar, y asegúrate de que tengan conectividad a Internet.
  2. Mide el rendimiento de la red en estas ubicaciones para establecer una línea base.
  3. Selecciona un proveedor de WAN en la nube o de red como servicio (NaaS).
  4. Establece un par de túneles redundantes Anycast GRE o IPsec sobre circuitos de Internet a la red del proveedor de WAN en la nube. (Anycast resuelve específicamente las dificultades relacionadas con la fiabilidad gracias al enrutamiento del tráfico al centro de datos operativo más cercano, en lugar de a un punto fijo).
  5. Comprueba el rendimiento (capacidad de proceso, latencia, pérdida de paquetes, fluctuación) de esos túneles.
  6. Cambia las políticas de enrutamiento para la migración del tráfico de producción de MPLS a los túneles de Internet.
  7. Repite los pasos anteriores en la siguiente ubicación conectada a MPLS.
  8. Retira los circuitos MPLS según sea necesario.

3. Protección de los entornos de nube

Ahora debes conectar los entornos multinube mediante un proceso similar al descrito anteriormente:

  1. Elige un entorno de nube con el que empezar, y mide el rendimiento de las aplicaciones para establecer una línea base.
  2. Establece una conexión con el proveedor de NaaS o WAN en la nube.
  3. Prueba el rendimiento a través de esta conexión.
  4. Cambia las políticas de enrutamiento para migrar el tráfico de producción en la nube a través de un proveedor de WAN/NaaS.
  5. Repite este proceso para todas las implementaciones en la nube.
  6. A continuación, utiliza un servicio como Multi-Cloud Networking para identificar, gestionar y proteger todos los datos y todas las cargas de trabajo en la nube.

4. Retirada de los equipos de hardware y circuitos privados

No todas las organizaciones podrán o querrán llegar al punto de desactivar toda su infraestructura local y su red y seguridad basadas en hardware. Sin embargo, la migración a SASE les ofrece esta oportunidad, para mejorar la flexibilidad y la escalabilidad sin apenas latencia.

Cómo empezar a modernizar las redes MPLS con Cloudflare

La conectividad cloud de Cloudflare ofrece un servicio seguro, rápido y fiable a cualquier lugar del mundo, y se adapta fácilmente a los nuevos requisitos empresariales. Para ello:

  • Cloudflare gestiona el tráfico BGP permitiendo el emparejamiento directo de los enrutadores perimetrales de los clientes (CPE) con la red de Cloudflare. Esto elimina la necesidad de rutas estáticas y permite la conmutación por error dinámica.
  • Los clientes establecen una sesión BGP a través de su conectividad existente, mediante túneles GRE, túneles IPsec o Cloudflare Network Interconnect (CNI).
  • Los enrutadores de los clientes anuncian sus prefijos internos (p. ej., las subredes de sus filiales) a Cloudflare.
  • A continuación, Cloudflare actualiza su tabla de enrutamiento de Virtual Network en sus más de 335+ centros de datos en todo el mundo.

Utiliza Cloudflare para tus servicios de red y de seguridad y para reforzar la continuidad de tu negocio, mejorar la experiencia de los usuarios y reducir los costes operativos. Descubre cómo empezar a modernizar las redes con Cloudflare.

 

Preguntas frecuentes

¿Por qué las redes de conmutación de etiquetas multiprotocolo (MPLS) tradicionales son menos eficaces para las empresas modernas?

Aunque una arquitectura MPLS proporciona una conectividad fiable para las filiales, su diseño poco flexible dificulta responder a las exigencias relacionadas con la informática en la nube y con la integración de IA en las operaciones cotidianas. Los entornos de trabajo modernos requieren más flexibilidad de la que pueden ofrecer estas redes estáticas.

¿Cuáles son las principales ventajas que ofrece actualizar a una arquitectura de red más moderna?

La transición de los sistemas heredados permite a las organizaciones beneficiarse de un mejor rendimiento de las aplicaciones, una conectividad simplificada y una mayor agilidad. Además, estas actualizaciones pueden reducir los costes operativos totales y proporcionar una seguridad que se adapta al crecimiento de la empresa.

¿En qué se diferencian un modelo de perímetro de servicio de acceso seguro (SASE) y una red de área amplia definida por software (SD-WAN)?

SD-WAN se diseñó principalmente para enlazar edificios físicos, lo que puede limitar a los usuarios a ubicaciones específicas. En cambio, SASE es un marco nativo de nube que combina la red con la seguridad Zero Trust. Esto garantiza una experiencia uniforme y segura a los empleados, tanto si trabajan desde una filial, desde su casa o si están de viaje.

¿Cuáles son los primeros pasos que debe seguir una organización para iniciar una migración a SD-WAN?

Para comenzar el proceso, es necesario documentar la topología de red actual, los requisitos de ancho de banda y las aplicaciones más importantes a fin de establecer una línea base de rendimiento. A continuación, las organizaciones deben elegir un proveedor que se adapte a sus necesidades técnicas concretas. Esto es especialmente importante si se requiere una configuración híbrida para poder conservar ciertos sistemas heredados.

¿Cuál es el proceso recomendado para la transición de las filiales a un modelo SASE?

Para empezar, las organizaciones deberían establecer la conectividad a Internet en unas pocas ubicaciones a fin de definir su línea base de rendimiento. Después de seleccionar un proveedor en la nube, pueden crear túneles Anycast GRE o IPsec seguros para el enrutamiento del tráfico. Una vez que se hayan probado estos túneles y el tráfico de producción se haya migrado a las nuevas rutas de Internet, ya se pueden retirar los circuitos privados anteriores.