Esta implantación se enmarca dentro de un ambicioso proyecto de renovación tecnológica emprendido por la compañía ferroviaria, que incluye la puesta en marcha de un Centro de Proceso de Datos totalmente renovado: nueva localización física para dicho Centro, cableado e infraestructura de conmutación y seguridad, así como nuevos servicios de control de acceso, interconexión y direccionamiento.
La necesidad de contar con un nuevo Data Center surge en 2005, momento en el que Renfe se divide en dos compañías diferentes: ADIF, que asume la gestión de la infraestructura ferroviaria y Renfe-Operadora, dedicada a prestar servicios de transporte de viajeros y mercancías. A partir de ese momento Renfe-Operadora deja de tener red de comunicaciones propia, administrada y explotada con recursos de la compañía y pasa a ser usuaria de servicios de telecomunicaciones, orientando su infraestructura de red a la prestación de servicios a sus propios usuarios corporativos.
Desde el punto de vista de la red, el proyecto contempla dos escenarios de actuación diferenciados: la implantación de una infraestructura que ofrece conectividad segura al Data Center y una nueva red de área local (LAN) que proporcione servicios de conectividad al usuario corporativo.
Con la entrada de nuevos operadores ferroviarios, Renfe necesitaba evolucionar sus procesos de negocio y sistemas de información para adaptarse a un escenario de competencia. En lo que respecta a la infraestructura de red, esta adaptación exigía alta disponibilidad, mejores tiempos de respuesta, balanceo de cargas, soporte multiplataforma, recursos bajo demanda, etc.
Para dar respuesta a estas necesidades, la nueva infraestructura se ha diseñado siguiendo una serie de criterios, como son:
Seguridad: Se necesita una red que garantice el Control de Acceso a la misma, seguridad en todos los niveles OSI, minimización de puntos de fallo y capacidad de adaptación.
Adaptabilidad: Renfe pasa de tener recursos propios de comunicaciones a ser un demandante de conectividad a operadores. La red debe estar orientada a la prestación de servicios al usuario, para poder adaptarse de forma ágil a los constantes cambios en el negocio.
Movilidad: Los usuarios se conectan a los sistemas corporativos a través de la LAN y dispositivos móviles. El objetivo es aportar valor añadido al usuario de la red, proporcionándole movilidad funcional y geográfica.
Desde un punto de vista técnico, la nueva infraestructura ofrecerá una serie de servicios y prestaciones que están en línea con las necesidades de negocio de la empresa, tanto en lo relativo a la seguridad como a la conectividad, como son:
Identificación y autorización en el nivel de acceso.
Asignación dinámica de recursos orientada a los servicios.
Configuración del equipo en el momento de la conexión en función de los diferentes perfiles de usuario.
Perfiles definidos por cada Área de Negocio.
Plan de direccionamiento orientado a la Organización Funcional de la Empresa, y a los servicios básicos de red (datos, voz e imagen).
El proyecto se ha llevado a cabo en todas sus fases siguiendo el principio de innovación tecnológica orientada a las necesidades del negocio. Como comenta Pedro Galián, Jefe de Comunicaciones de Renfe, nuestra máxima es que implantamos tecnología porque lo exige el negocio. Nuestro trabajo es bidireccional, ya que por un lado tratamos de conocer a fondo qué es lo que necesita el negocio, las aplicaciones, los usuarios, la ubicación, etc. Por otro necesitamos conocer el mercado y la oferta tecnológica, para poder transmitir al negocio el valor añadido que hay en el mercado y cubrir así necesidades que no se han analizado inicialmente.
La nueva red corporativa de Renfe tendrá que dar servicio a más de 4000 usuarios y 5000 IPs en las más de 700 redes locales que tiene la compañía repartidas por todo el territorio español, así como a más de 1000 dispositivos autónomos.
El nuevo equipamiento de Enterasys tendrá que interoperar con equipos heredados de otros fabricantes, en concreto con soluciones Blade Center, que son estratégicas dentro de la infraestructura.
En este entorno heterogéneo, la tecnología Enterasys es capaz de mejorar las condiciones de seguridad de la red. La identificación de la MAC de los servidores se lleva a cabo a nivel de CPD, y son los equipos Enterasys Matrix N3-N7 los encargados de realizar la autenticación y autorización. Los conmutadores Enterasys SecureStack C3 conectan las LAN a la red troncal, y es en ellos donde se aplica la configuración de forma dinámica.
El equipo de comunicaciones de Renfe tiene especial interés en poder controlar el acceso y el uso que se hace de la red corporativa. Por ello, la capacidad de la tecnología de Enterasys para dar respuesta de forma integral tanto al control de acceso a la red (identificando y autorizando equipos y usuarios que se conectan) como a la configuración dinámica del puerto una vez se ha autorizado el acceso, ha sido un elemento determinante a la hora de elegir este fabricante.
A estas capacidades hay que añadir la posibilidad de configurar puertos en función de los diferentes perfiles de usuario que residen en el propio conmutador y de obtener estos perfiles de un LDAP a través del protocolo Radius. Toda la gestión de la red y la modificación y aplicación de políticas se realiza a través de la aplicación Enterasys Policy Manager.
Renfe valora asimismo el modo en que Enterasys concibe la seguridad. Pedro Galián comenta: La mejor forma de defender la red es controlar el acceso de equipos y los flujos de tráfico en el punto más cercano al origen. La Infraestructura de red no debe ser un elemento pasivo, sino que tiene que ser capaz de identificar los equipos que hay detrás de un puerto y aplicar dinámicamente la configuración adecuada. La ventaja de Enterasys es su orientación a tratar flujos de tráfico y aplicarlos sobre los puertos, y no a configurar permisos sobre los puertos.
